photo
30.05.2025

Skoro nie doszło do zawarcia umowy, to nie można dalej przetwarzać danych wnioskodawcy o kredyt

Naczelny Sąd Administracyjny 29 maja 2025 r. uchylił wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 29 października 2021 r. i oddalił skargę Biura Informacji Kredytowej na decyzję Prezesa UODO z 15 grudnia 2020 r.  Prezes UODO nakazał w niej, żeby bank i BIK zaprzestały przetwarzania danych osobowych niedoszłego klienta w zakresie wynikającym z zapytania kredytowego.  

Decyzja Prezesa UODO została wydana po przeprowadzeniu postępowania wszczętego na skutek skargi osoby, która wnioskowała o kredyt w banku, ale ostatecznie do zawarcia umowy nie doszło. Mimo to bank oraz BIK nadal przetwarzały jej dane osobowe, pozyskane w celu oceny zdolności kredytowej i oceny ryzyka kredytowego. Organ nadzorczy uznał, że skoro nie doszło do zawarcia umowy kredytowej, to zarówno bank, jak i BIK nie mają podstaw do dalszego przetwarzania danych tej osoby.

BIK zaskarżył decyzję Prezesa UODO, a Wojewódzki Sąd Administracyjny w Warszawie przyznał mu rację uznając, że podstawą przetwarzania wskazanych danych w BIK jest art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1-1c Prawa bankowego oraz art. 6 ust. 1 lit. f RODO w zw. z art. 118 Kodeksu cywilnego.

Wyrok ten został przez Prezesa UODO zaskarżony do NSA, który uchylił wyrok WSA i oddalił skargę BIK, a tym samym przychylił się do stanowiska wyrażonego w decyzji organu nadzorczego z 15 grudnia 2020 r.

NSA zgodził się z Prezesem UODO, że przetwarzanie danych w zakresie oceny zdolności kredytowej i analizy ryzyka kredytowego, związane z zapytaniami, które nie zakończyły się przyznaniem kredytu, nie może odbywać się w celu budowy tzw. modeli scoringowych. Są to narzędzia wykorzystywane przez banki i inne instytucje pożyczkowe do oceny zdolności kredytowej i analizy ryzyka kredytowego, w celu statystycznym i analiz oraz w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych. Jako podstawę przeprowadzenia tego rodzaju analiz w zakresie ochrony danych osobowych wskazane instytucje powołują się na art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes administratora.

To już kolejna sprawa, w której NSA potwierdził stanowisko Prezesa UODO w sprawie przetwarzania danych niedoszłego klienta banku. O jednej z takich spraw informowaliśmy w komunikacie na stronie:  https://www.uodo.gov.pl/pl/138/3558.

WSA: sygn. II SA/Wa 506/21

NSA: sygn. III OSK 984/22

DS.523.71.2020

Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Monika Krasińska
date 2025-05-30
Wprowadził informację:
user Karolina Jastalska
date 2025-05-30 15:05:12
Ostatnio modyfikował:
user Karolina Jastalska
date 2025-05-30 15:23:04