Czy bank ma prawo przetwarzać dane osoby, na którą oszuści zaciągnęli kredyt? Jeśli pokrzywdzony zgłosił przęstepstwo na policję i wytoczył powództwo o podważenie niepodpisanej przez siebie umowy? Czy jednak fakt, że miało miejsce wyłudzenie kredytu na skradzione dane osobowe nie oznacza zakazu ich przetwarzania — przynajmniej dopóty, dopóki sprawa nie jest prawidłowo wyjaśniona — a od wyjaśniania tego nie jest PUODO?
nieprawomocny wyrok WSA w Warszawie z 30 sierpnia 2024 r. (II SA/Wa 265/24)
Przepisy RODO nie pozwalają PUODO na kontrolowanie czynności podejmowanych w toku postępowania karnego przez organy ścigania, czy też podważania ważności zawartych umów. Dopóki istnienie umów nie zostało podważone przez sąd powszechny, wywołują one skutki, które podlegają ocenie w świetle ustawy o ochronie danych osobowych.
Orzeczenie dotyczyło skargi na odmowę usunięcia przez bank danych osoby, której tożsamość została wykorzystana przez oszustów do wyłudzenia kredytu.
opis stanu faktycznego:
- sprawa zaczęła się od zaciągnięcia na zajumane dane osobowe pożyczki w banku;
- (dla zaspokojenia ciekawskich: umowę zawarto przez internet, potwierdzono „przelewem weryfikacyjnym” na 1 zł, po czym pieniądze wypłacono na „fałszywy”, założony przez oszusta rachunek, dodatkowo był też kredyt ratalny na zakup towaru);
- pokrzywdzony zgłosił przęstepstwo na policję, a także wytoczył powództwo o uznanie umów za nieważne — po czym zwrócił się do banku o usunięcie lub zabezpieczenie jego danych osobowych;
art. 17 ust. 1 i 3 RODO
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: […]
3. [Prawo do bycia zapomnianym] nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
e) do ustalenia, dochodzenia lub obrony roszczeń.
- w odpowiedzi bank wyjaśnił, że wstrzymuje działania windykacyjne do czasu wyjaśnienia całej sprawy przez organy ścigania, zaś informacja o zadłużeniu została wykreślona z BIK — ale danych nie usunął;
- zatem zainteresowany wniósł skargę do PUODO na naruszenie prawa do bycia zapomnianym;
decyzja PUODO:
- w wydanej decyzji PUODO uznał, że niezależnie od tego, iż mogło dojść do kradzieży tożsamości, bank jest uprawniony do dalszego przetwarzania danych osobowych w oparciu o prawnie uzasadniony interes związany z prowadzonym postępowaniem oraz prawo do obrony przed ewentualnymi roszczeniami skarżącego;
- przy czym ta przesłanka odpadnie dopiero w momencie prawomocnego ustalenia, że doszło do popełnienia przestępstwa oszustwa — czego ani bank, ani PUODO oceniać nie może — zaś do tego momentu bank może dane osobowe nadal przetwarzać;
skarga na decyzję PUODO:
- w skardze na tę decyzję mężczyzna zarzucił nie tylko błędne zastosowanie art. 6 ust. 1 lit. f RODO — bo skoro doszło do oszustwa na jego szkodę, to jest jasne, że bank nie jest uprawniony do przetwarzania danych osobowych;
- ale też zwrócił uwagę, że skoro PUODO uważa, że trzeba poczekać do rozstrzygnięcia innego organu, to powinien był postępowanie zawiesić, a nie wydawać decyzję merytoryczną;
wyrok WSA:
- Wojewódzki Sąd Administracyjny przypomniał, iż PUODO nie jest kompetentny do kontrolowania czynności podejmowanych przez organy ścigania w zakresie prowadzonego postępowania karnego, jak też podważania zawartych umów, toteż dopóki właściwy sąd powszechny nie podważy zawartych umów, dopóty należy przyjąć, iż wywołują one skutki w zakresie ochrony danych osobowych;
- skoro więc w toku prowadzonego postępowania organ ustalił, iż rzekomo miało miejsce przęstepstwo, zaś bank usunął dane skarżącego z „kartoteki oznaczonej jako wyłudzenie” i wstrzymał windykację (oceniając przy tym, że sam nie może prowadzić dalszych ustaleń) — to do momentu zakończenia postępowania karnego (w/s oszustwa) i cywilnego (w/s unieważnienia umów) bank ma prawo przetwarzać dane osoby, która określa się jako pokrzywdzona w sprawie;
- co więćej
Bank posiada prawnie uzasadniony interes określony w art. 6 ust. 1 lit. f RODO do dalszego przetwarzania danych osobowych skarżącego w postaci obrony przed istniejącymi roszczeniami skarżącego, a w ślad za nimi toczącymi się postępowaniami sądowymi.
- WSA jako niezasadny uznał też zarzut braku zawieszenia postępowania: organ ma obowiązek poczekać na prejudykat tylko wówczas, kiedy istnieje zagadnienie prawne, bez którego rozstrzygnięcia nie jest możliwe wydanie decyzji merytorycznej — a przecież sytuacja, w której ktoś żąda uwzględnienia jego żądania skorzystania z prawa do bycia zapomnianym, powołując się na niepotwierdzone wyłudzenie kredytu na rzekomo skradzione dane osobowe, rozstrzygnięcia nie wyklucza;
- zmienić sytuację może, podpowiada WSA, pomyślne zakończenie postępowania karnego i cywilnego, jednak nawet wówczas decyzja nie będzie wadliwa — bo przecież stan rzeczy ocenia się według momentu wydania decyzji.
Z tego względu WSA skargę na decyzję oddalił.