Czy bank powinien usunąć dane osobowe kredytobiorcy, który twierdzi, że padł ofiarą kradzieży tożsamości?

Czy bank ma prawo przetwarzać dane osoby, na którą oszuści zaciągnęli kredyt? Jeśli pokrzywdzony zgłosił przęstepstwo na policję i wytoczył powództwo o podważenie niepodpisanej przez siebie umowy? Czy jednak fakt, że miało miejsce wyłudzenie kredytu na skradzione dane osobowe nie oznacza zakazu ich przetwarzania — przynajmniej dopóty, dopóki sprawa nie jest prawidłowo wyjaśniona — a od wyjaśniania tego nie jest PUODO?


mosty Uniwersyteckie Wrocław
Taki tam widoczek z mostów Uniwersyteckich we Wrocławiu, ujęcie czysto ilustracyjne (fot. Olgierd Rudak, CC BY-SA 4.0)

nieprawomocny wyrok WSA w Warszawie z 30 sierpnia 2024 r. (II SA/Wa 265/24)
Przepisy RODO nie pozwalają PUODO na kontrolowanie czynności podejmowanych w toku postępowania karnego przez organy ścigania, czy też podważania ważności zawartych umów. Dopóki istnienie umów nie zostało podważone przez sąd powszechny, wywołują one skutki, które podlegają ocenie w świetle ustawy o ochronie danych osobowych.

Orzeczenie dotyczyło skargi na odmowę usunięcia przez bank danych osoby, której tożsamość została wykorzystana przez oszustów do wyłudzenia kredytu.

opis stanu faktycznego:

  • sprawa zaczęła się od zaciągnięcia na zajumane dane osobowe pożyczki w banku;
  • (dla zaspokojenia ciekawskich: umowę zawarto przez internet, potwierdzono „przelewem weryfikacyjnym” na 1 zł, po czym pieniądze wypłacono na „fałszywy”, założony przez oszusta rachunek, dodatkowo był też kredyt ratalny na zakup towaru);
  • pokrzywdzony zgłosił przęstepstwo na policję, a także wytoczył powództwo o uznanie umów za nieważne — po czym zwrócił się do banku o usunięcie lub zabezpieczenie jego danych osobowych;

art. 17 ust. 1 i 3 RODO
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: […]
3. [Prawo do bycia zapomnianym] nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
e) do ustalenia, dochodzenia lub obrony roszczeń.

  • w odpowiedzi bank wyjaśnił, że wstrzymuje działania windykacyjne do czasu wyjaśnienia całej sprawy przez organy ścigania, zaś informacja o zadłużeniu została wykreślona z BIK — ale danych nie usunął;
  • zatem zainteresowany wniósł skargę do PUODO na naruszenie prawa do bycia zapomnianym;

decyzja PUODO:

  • w wydanej decyzji PUODO uznał, że niezależnie od tego, iż mogło dojść do kradzieży tożsamości, bank jest uprawniony do dalszego przetwarzania danych osobowych w oparciu o prawnie uzasadniony interes związany z prowadzonym postępowaniem oraz prawo do obrony przed ewentualnymi roszczeniami skarżącego;
  • przy czym ta przesłanka odpadnie dopiero w momencie prawomocnego ustalenia, że doszło do popełnienia przestępstwa oszustwa — czego ani bank, ani PUODO oceniać nie może — zaś do tego momentu bank może dane osobowe nadal przetwarzać;

skarga na decyzję PUODO:

  • w skardze na tę decyzję mężczyzna zarzucił nie tylko błędne zastosowanie art. 6 ust. 1 lit. f RODO — bo skoro doszło do oszustwa na jego szkodę, to jest jasne, że bank nie jest uprawniony do przetwarzania danych osobowych;
  • ale też zwrócił uwagę, że skoro PUODO uważa, że trzeba poczekać do rozstrzygnięcia innego organu, to powinien był postępowanie zawiesić, a nie wydawać decyzję merytoryczną;

wyrok WSA:

  • Wojewódzki Sąd Administracyjny przypomniał, iż PUODO nie jest kompetentny do kontrolowania czynności podejmowanych przez organy ścigania w zakresie prowadzonego postępowania karnego, jak też podważania zawartych umów, toteż dopóki właściwy sąd powszechny nie podważy zawartych umów, dopóty należy przyjąć, iż wywołują one skutki w zakresie ochrony danych osobowych;
  • skoro więc w toku prowadzonego postępowania organ ustalił, iż rzekomo miało miejsce przęstepstwo, zaś bank usunął dane skarżącego z „kartoteki oznaczonej jako wyłudzenie” i wstrzymał windykację (oceniając przy tym, że sam nie może prowadzić dalszych ustaleń) — to do momentu zakończenia postępowania karnego (w/s oszustwa) i cywilnego (w/s unieważnienia umów) bank ma prawo przetwarzać dane osoby, która określa się jako pokrzywdzona w sprawie;
  • co więćej

Bank posiada prawnie uzasadniony interes określony w art. 6 ust. 1 lit. f RODO do dalszego przetwarzania danych osobowych skarżącego w postaci obrony przed istniejącymi roszczeniami skarżącego, a w ślad za nimi toczącymi się postępowaniami sądowymi.

  • WSA jako niezasadny uznał też zarzut braku zawieszenia postępowania: organ ma obowiązek poczekać na prejudykat tylko wówczas, kiedy istnieje zagadnienie prawne, bez którego rozstrzygnięcia nie jest możliwe wydanie decyzji merytorycznej — a przecież sytuacja, w której ktoś żąda uwzględnienia jego żądania skorzystania z prawa do bycia zapomnianym, powołując się na niepotwierdzone wyłudzenie kredytu na rzekomo skradzione dane osobowe, rozstrzygnięcia nie wyklucza;
  • zmienić sytuację może, podpowiada WSA, pomyślne zakończenie postępowania karnego i cywilnego, jednak nawet wówczas decyzja nie będzie wadliwa — bo przecież stan rzeczy ocenia się według momentu wydania decyzji.

Z tego względu WSA skargę na decyzję oddalił.

subskrybuj
Powiadom o
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
0
komentarze są tam :-)x