Przetwarzanie danych osobowych po wydaniu przez Bank negatywnej decyzji kredytowej
Przetwarzanie danych osobowych po wydaniu przez Bank negatywnej decyzji kredytowej
Na mocy tzw. „ustawy sektorowej” w dniu 4 maja 2019 roku weszła w życie modyfikacja ustawy Prawo bankowe, która w art. 70a zobowiązała Banki do udzielania na wniosek osoby fizycznej (prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną), ubiegającej się o kredyt, wyjaśnienia dotyczącego dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Wyjaśnienie takie powinno obejmować informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. Z punku widzenia przetwarzania danych osobowych wejście w życie art. 70a powinno skutkować zmianą praktyki bankowej w dwóch różnych obszarach.
Uzasadnienie dokonanej przez Bank oceny zdolności kredytowej
Po pierwsze, Bank w swoim uzasadnieniu dotyczącym dokonanej przez siebie oceny zdolności kredytowej wnioskującego musi wskazać, pośród szeregu różnych informacji, także dane osobowe wnioskującego które miały wpływ na dokonaną ocenę zdolności kredytowej. To o tyle ważne, iż w dotychczasowej praktyce Banki ograniczały się do dość ogólnej informacji, w której podkreślano brak zdolności do spłaty kredytu przez wnioskodawcę lub wskazywano, iż odmowa udzielenia kredytu dokonana została między innymi na podstawie informacji zawartych w bazach danych, na podstawie których Bank analizował zdolność do spłaty wnioskodawcy oraz jego dotychczasową historię kredytową. Od tego momentu Banki, uzasadniając swoją decyzję, powinny wskazywać konkretne dane, w tym dane osobowe, które miały wpływ na podjęcie przez Bank takiej, a nie innej decyzji kredytowej. Przypomnijmy tutaj, iż dane osobowe, to (zgodnie z art. 4 pkt.1 RODO), między innymi. informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W praktyce oznacza to w zasadzie każdą informację dotyczącą wnioskującego, którą uwzględniał Bank przy ocenie zdolności kredytowej danego wnioskodawcy.
Sytuacja, w której nie dochodzi do podpisania umowy kredytowej
Wejście w życie art. 70a ponownie zwróciło uwagę na konieczność zmiany w podejściu Banków do sposobu traktowania przez nie danych osobowych tych wnioskodawców, w stosunku do których Banki wydały negatywną decyzję kredytową lub którzy odstąpili od podpisania umowy kredytowej. Krótko mówiąc, chodzi o sytuacje, w których nie dochodzi do podpisania umowy kredytowej z wnioskującym. Na podstawie powyższej zmiany, Banki otrzymały podstawę prawną do przetwarzania danych osobowych zawartych we wnioskach kredytowych oraz załączonych do nich dokumentach, także po wydaniu negatywnej decyzji kredytowej (lub na zasadzie analogii w sytuacji rezygnacji z podpisania umowy przez wnioskodawcę). Co ciekawe, praktyka większości banków w tym zakresie była taka, iż Bank po wydaniu negatywnej decyzji kredytowej zwracały wnioskodawcy dokumenty załączone do wniosku kredytowego, jednak pozostawiały sobie sam wniosek, przetwarzając w ten sposób wszystkie dane osobowe w nim zawarte, argumentując, iż takie dane będą przetwarzania w celach archiwalnych lub w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami. Było tak, pomimo tego, iż WSA uznał, że w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest przesłanek ustawowych legalizujących dalsze przetwarzanie przez bank danych osobowych niedoszłego klienta. Argumentacja sądu była jak najbardziej logiczna. Sąd zwrócił uwagę na fakt, iż co prawda w następstwie złożenia wniosku kredytowego przez wnioskodawcę Bank jest uprawniony w świetle art. 105a ust. 1 Prawa bankowego do przetwarzania danych osobowych wnioskodawcy w celu oceny jego zdolności kredytowej, jednak w sytuacji, gdy w wyniku podjętych czynności sprawdzających nie doszło do zawarcia umowy kredytowej, odpadła przesłanka legalizująca dalsze przetwarzanie przez Bank danych osobowych wnioskodawcy. Sąd podkreślił także, iż pomiędzy wnioskodawcą a Bankiem nie zawiązał się żaden stosunek zobowiązaniowy, który w świetle art. 105a ust. 1 – 6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych przez Bank. Nie znajduje ono zatem obecnie podstawy w przepisach prawa i nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Bank, a w szczególności podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi. Zdaniem Sądu, niedopuszczalne jest także przetwarzanie danych osobowych niejako "na zapas", z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Stanowisko WSA podzielił w swoim wyroku z dnia 27 sierpnia 2019 roku NSA (I OSK 2567/17), który oddalił skargę kasacyjną Banku.
Okres retencji
Zobowiązanie Banku, określone w art. 70a, do udzielania na wniosek osoby fizycznej (prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną), ubiegającej się o kredyt, wyjaśnienia dotyczącego dokonanej przez siebie oceny zdolności kredytowej wnioskującego nie wskazało okresu, w ramach którego Bank ma zrealizować taki obowiązek. Inaczej mówiąc, w przepisie tym nie został wskazany okres retencji danych osobowych przetwarzanych w celu przygotowania przez Bank stosownego uzasadnienia swej decyzji kredytowej. Zgodnie z art. 5 ust. 1 lit. e) RODO, dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą. Co w sytuacji, gdy administrator chcący respektować zasadę „ograniczenia przechowywania”, nie znajduje w powszechnie obowiązujących przepisach prawa okresu retencji danych przetwarzanych w danym celu? Zgodnie ze stanowiskiem Prezesa UODO, aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien samodzielnie ustalić termin ich usuwania lub okresowego przeglądu (motyw 39 RODO). W tym celu administrator powinien dokonać analizy dotyczących jego działalności przepisów prawa. Konieczność samodzielnego określenia przez administratora okresu przechowywania danych osobowych może zachodzić nawet w sytuacji, w której cele przetwarzania danych określone są w przepisach prawa. W takich sytuacjach obowiązkiem administratora jest dokonanie oceny, czy cele zostały osiągnięte i czy dane są mu nadal potrzebne.
Konkluzje
Biorąc powyższe pod uwagę stwierdzić należy, iż w sytuacji, w której Bank wyda negatywną decyzję kredytową lub gdy wnioskodawca odstąpi od podpisania z Bankiem umowy kredytowej, a zatem w sytuacji, gdy po wydaniu przez Bank swojej decyzji kredytowej nie dochodzi do związania żądnego stosunku prawnego pomiędzy wnioskodawcą a Bankiem, praktyka bankowa powinna bazować na następujących założeniach:
- Bank powinien wdrożyć w swych wewnętrznych regulacjach okresy retencji danych osobowych w odniesieniu do sytuacji, gdy Bank wyda negatywną decyzję kredytową lub gdy wnioskodawca odstąpi od podpisania z Bankiem umowy kredytowej;
- Określenie przez Bank okresu retencji danych powinno uwzględniać zasadę „ograniczenia przechowywania” (art. 5 ust. 1 lit. e RODO), tj. zapobieganie przechowywania danych osobowych przez okres dłuższy, niż jest to niezbędne, biorąc pod uwagę przepisy prawa dotyczące jego działalności.
- Po wydaniu negatywnej decyzji kredytowej lub w sytuacji, gdy wnioskodawca odstąpi od podpisania z Bankiem umowy kredytowej, Bank powinien po upływie wskazanego przez siebie okresu retencji, zniszczyć wszystkie dane osobowe dotyczące w/w wnioskodawców;
- Bank, w okresie wskazanym w pkt. 3 powyżej, powinien również wycofać z bazy BIK wszystkie zapytania kredytowe dotyczące rozpoznawanych wniosków kredytowych złożonych przez wnioskodawców, w stosunku do których Bank wydał negatywną decyzję kredytową lub którzy odstąpili od podpisania umowy kredytowej;
- Zasady określone w pkt. 1 – 4 powinny mieć zastosowanie w odniesieniu do danych osobowych osób będących dostawcami zabezpieczeń w ramach rozpoznawanych przez Bank wniosków kredytowych, o których złożonych przez wnioskodawców, w stosunku do których Bank wydał negatywną decyzję kredytową lub którzy odstąpili od podpisania umowy kredytowej;
Opracował
Arkadiusz Kraus