Czy jeśli sąd przyznał zabezpieczenia roszczenia w postaci wstrzymania spłaty rat, a bank i tak przekazał dane do BIK o zaległościach w spłacie, to czy bank naruszył RODO? Mamy rozstrzygnięcie WSA.
Kontekst sprawy
Sprawa dotyczyła powództwa o stwierdzenie nieważności kredytu walutowego. W trakcie postępowania sąd przyznał kredytobiorcom zabezpieczenie roszczenia w postaci wstrzymania spłaty rat. Kredytobiorcy poinformowali bank o skorzystaniu z tego uprawnienia, jednak miesiąc później bank przekazał do Biura Informacji Kredytowej informację o opóźnieniu w spłacie zobowiązań. W związku z tym kredytobiorcy zażądali od banku zaprzestania naruszenia zasad przetwarzania danych oraz złożyli skargę do Prezesa UODO.
W wydanej decyzji Prezes Urzędu Ochrony Danych Osobowych stwierdził, że bank nie miał podstaw prawnych do przetwarzania danych osobowych skarżących dotyczących opóźnień w spłacie umowy kredytowej w systemie BIK. Jak wskazał UODO w odniesieniu do powyższego przetwarzania danych osobowych Skarżących nie zaistniała żadna, z wyrażonych w art. 6 ust. 1 RODO przesłanek, która stanowiłaby o legalności tego przetwarzania.
Jak wskazano, co do zasady podstawą prawną przetwarzania danych klientów przez bank w BIK może być obecnie art. 6 ust. 1 lit. f RODO, wtedy gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Jednakże UODO podkreślił, że dane gromadzone przez Biuro Informacji Kredytowej powinny odzwierciedlać rzeczywisty stan zobowiązań kredytowych, więc w tym wypadku ta przesłanka nie miała zastosowania. Prezes UODO w związku z tym udzielił upomnienia bankowi
Sam bank odwołał się od tej decyzji do WSA. W skardze na tę decyzję argumentował, że ponieważ dane osobowe były przetwarzane przez BIK, który jest odrębnym podmiotem i samodzielnym administratorem danych osobowych, to BIK powinien być stroną postępowania i decyzji.
Stanowisko WSA
WSA odnosząc się do argumentów banku zgodził się ze stanowiskiem UODO, że celem postępowania była ocena legalności procesu przetwarzania danych osobowych przez bank, w szczególności dotycząca przekazania informacji o opóźnieniach w spłacie zobowiązania do BIK. Postępowanie to nie dotyczyło realizacji przez Bank wniosku o sprostowanie lub usunięcie danych osobowych.
Jak podkreślił WSA, bank miał obowiązek poinformować BIK o udzielonym zabezpieczeniu zgodnie z przepisami prawa. Opóźnienie ze strony Banku w przekazaniu informacji o zabezpieczeniu przyznanym przez sąd skutkowało nieprawidłowym przetwarzaniem danych w BIK, polegającym na błędnej informacji o zaległościach w spłacie zobowiązania.
WSA wskazał również, że BIK nie aktualizuje samodzielnie danych o zobowiązaniach, a jedynie przetwarza informacje zgodnie z danymi otrzymanymi od banków. To banki posiadają te informacje, więc prawidłowość danych przetwarzanych przez BIK zależy od działań lub zaniechań banku. To bank decyduje czy udostępnia dane osobowe do BIK, a jeśli tak, to również o terminie oraz zakresie przekazanych informacji. Bank jest również odpowiedzialny za sprawdzenie ich poprawności. BIK nie dokonuje bowiem samodzielnych zmian dotyczących danych osobowych klienta bez uprzedniego przekazania ich przez bank.
W związku z powyższym PUODO słusznie stwierdził, że bank nie spełnił obowiązku wynikającego z przepisów prawa w wyznaczonym terminie i wydał decyzję, w której udzielił bankowi upomnienia za naruszenie art. 6 ust. 1 RODO. Decyzja ta była skierowana wyłącznie do Banku jako podmiotu odpowiedzialnego za aktualizację danych w systemie BIK.
Banki a RODO
Banki dokonując zgłoszeń do BIK, nie mogą pomijać udzielonych zabezpieczeń. W tym konkretnym sporze RODO było użytecznym choć dość nieoczywistym narzędziem w sporze, umożliwiającym egzekwowanie praw (klientów) i obowiązków (banków) wynikających z przetwarzania danych osobowych.
Źródło:
https://orzeczenia.nsa.gov.pl/doc/E1C47F70B3
