Kiedy sąd prawomocnym wyrokiem ustala nieważność (nieistnienie) umowy o kredyt zawartej między bankiem a kredytobiorcą, ten ostatni zakłada, że bank nie ma już podstaw do przetwarzania jego danych osobowych, bowiem umowa jest nieważna od samego początku. Zwraca się więc do banku o ich usunięcie i w tym miejscu powstaje pytanie, czy takie żądanie jest uprawnione i czy kredytobiorca ma wówczas „prawo do prywatności”.
Legalność przetwarzania danych osobowych określa rozporządzenie Parlamentu Europejskiego i Rady Europy 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „rozporządzenie”).
W art. 6 ust. 1 rozporządzenia, wymienione zostały warunki, których spełnienie jest niezbędne do uznania przetwarzania tychże danych za zgodne z prawem. Wśród wymienionych tam sytuacji znajdziemy m.in.:
- zgodę osoby, której dane dotyczą,
- wskazanie na niezbędność przetwarzania do wykonania umowy,
- czy też niezbędność przetwarzania do osiągnięcia celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Każda z przesłanek określonych w tym przepisie ma charakter autonomiczny
i niezależny, co oznacza, że spełnienie choćby jednej z nich, jest jednoznaczne ze stwierdzeniem zgodności z prawem przetwarzanych danych.
Umowa nieważna, co z danymi osobowymi?
Jednakże co w sytuacji, gdy dochodzi do stwierdzenia prawomocnym wyrokiem sądu nieważności umowy, a klient żąda usunięcia jego danych zgromadzonych przez bank w związku z zawarciem
i wykonywaniem tejże umowy? Bank w takiej sytuacji traci uprawnienie do legalnego przetwarzania danych osobowych w świetle wyżej cytowanego art. 6 ust. 1 rozporządzenia.
Jednocześnie bank posiada własne roszczenie w stosunku do kredytobiorcy o rozliczenie wypłaconego – na podstawie umowy następczo uznanej za nieważną – kapitału, jak również roszczenie o wynagrodzenie za korzystanie z kapitału. Co więcej, o tychże roszczeniach banku, kredytobiorca informowany był przez sąd w toku wytoczonego przez siebie przeciwko bankowi postępowania. Kredytobiorca jest zatem świadomy, że czeka go konieczność dokonania rozliczeń z bankiem, bez względu na fakt, czy roszczenia banku uznaje, czy też nie.
Gdyby dojść do przekonania, że bank obowiązany jest spełnić żądanie klienta, istniałoby ryzyko powstania sytuacji, w której kredytobiorca, powołując się na prawo do ochrony swoich danych osobowych (prawo do prywatności), skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia. Konsekwencją takiego działania byłoby wyłączenie prawa banku do uzyskania należnej mu zapłaty.
Istnienie roszczeń uprawnia bank do dalszego przetwarzania danych klienta
W takim przypadku należy odwołać się do art. 17 ust. 3 lit. e) rozporządzenia, wskazującego wprost, kiedy żądanie od administratora niezwłocznego usunięcia danych osobowych nie ma zastosowania. Z brzmienia powołanego przepisu wynika, że administrator danych może odmówić ich usunięcia, gdy dane te są niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
Bez wątpienia sam fakt istnienia roszczeń banku powstałych w związku ze stwierdzeniem nieważności umowy, usprawiedliwia dalsze przetwarzanie danych osobowych kredytobiorcy w celu ich dochodzenia. Z kolei kredytobiorca nie może skutecznie żądać usunięcia jego danych, powołując się na prawo do prywatności.
Co z danymi do celów marketingowych?
Na marginesie zauważyć trzeba, że bank otrzymując od osoby fizycznej żądanie usunięcia danych osobowych, powinien zwrócić uwagę, czy łącznie z żądaniem usunięcia danych nie został złożony sprzeciw wobec przetwarzania tychże danych do celów marketingu bezpośredniego. Jeżeli takie oświadczenie zostało złożone, to danych osobowych nie wolno już przetwarzać do tychże celów.
Jak długo bank może przetwarzać dane?
W tym miejscu wypada także wspomnieć o okresie retencji danych w związku z dochodzeniem roszczeń przez bank. Terminy zakończenia przetwarzania danych określone są w przepisach ogólnych Kodeksu cywilnego, wskazujących terminy przedawnienia roszczeń banku oraz w art. 105a ust. 5 ustawy Prawo bankowe.
Podsumowanie
Odpowiadając zatem na pytanie, czy kredytobiorca może skutecznie żądać usunięcia wszelkich jego danych z banku w związku z prawomocnym ustaleniem nieważności umowy kredytu, należy udzielić negatywnej odpowiedzi. Rozporządzenie daje bowiem bankowi podstawę prawną, dzięki której dalsze przetwarzanie danych jest zgodne z prawem.
Autor: Joanna Michalska, radca prawny, Senior Associate w Lawspective Litwiński Valirakis Radcowie Prawni Sp. k. Autorka specjalizuje się m.in. w prawie ubezpieczeniowym (ubezpieczenia gospodarcze), prawie bankowym ze szczególnym uwzględnieniem Bancassurance.), ochronie danych osobowych.
E-mail: joanna.michalska@lawspective.pl