NSA podtrzymał decyzje Prezesa UODO dotyczące przetwarzania danych niedoszłych klientów banków

Banki i Biuro Informacji Kredytowej nie mogą przetwarzać danych osób, które wystąpiły z wnioskiem kredytowym, ale ostatecznie nie zawarły umowy. Sprawdzanie zdolności kredytowej upoważnia do przetwarzania danych, ale tylko w trakcie tego procesu, a nie po.

Naczelny Sąd Administracyjny w dwóch sprawach (III OSK 1552/22 i III OSK 1877/22) podtrzymał stanowisko Prezesa UODO. Pierwsza dotyczyła niedoszłej klientki SKOK Stefczyka, druga – niedoszłego klienta Alior Banku. Obie instytucje finansowe sprawdzały dane we wnioskach kredytowych w Biurze Informacji Kredytowej SA, a kiedy do zawarcia umowy nie doszło, odmówiły usunięcia danych niedoszłych klientów.

Prezes UODO argumentował, że jeśli do zawarcia umowy nie doszło, nie ma już podstaw do przetwarzania danych. SKOK, Alior Bank i BIK skarżąc decyzję PUODO wskazywały, że mają prawo do przetwarzania danych.

Alior Bank powołał się na art. 70 Prawa bankowego i uprawnienia do pobrania w związku z tym danych z BIK w oparciu o art. 105 ust. 4 oraz art. 105a ust. 1 Prawa bankowego. NSA jednak zauważył, że te przepisy odnoszą się do przetwarzania danych przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu. Gdy nie dochodzi do zawarcia umowy kredytowej brak jest przesłanek legalizujących dalsze przetwarzanie danych wnioskodawcy o kredyt. Przesłanki takiej nie można też wywieść z art. 70a ust. 1-2 Prawa bankowego.

W sprawie SKOK NSA zauważył, że wszelkie regulacje znoszące ochronę danych osobowych muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Przy udzielaniu kredytu instytucje finansowe mają podstawę prawną do przetwarzania danych. Muszą bowiem ocenić zdolność kredytową. Jednak w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych.

Drugim argumentem podnoszonym w tych sprawach za prawem do przetwarzania danych osobowych miał być zdaniem skarżących decyzję Prezesa UODO art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes realizowany przez administratora danych, jakim jest ewentualne dochodzenie roszczeń powstałych w związku z wykonywaniem czynności bankowych oraz innych wynikających z przepisów powszechnie obowiązujących.

Tyle że – jak wskazał PUODO, a potwierdził to NSA – przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, nie zaś takiej, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

W ocenie NSA na gruncie RODO niedopuszczalne jest – gdy nie zawarto umowy kredytowej – dalsze przetwarzanie danych osobowych wnioskodawcy "na przyszłość" w zupełnie innych celach niż je zebrano, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań.

Gdyby podzielić stanowisko zaprezentowane w skardze kasacyjnej BIK, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia SKOK do ich dalszego (dosyć długiego) przechowywania po odmowie zawarcia umowy kredytowej (w celu budowy modeli scoringowych, tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, a w celach statystycznych i analiz przez okres 10 lat od dnia przekazania zapytania do BIK, a nawet 12 lat), to regulacje zawarte w art. 105a Prawa bankowego ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby wartości prawnej i skuteczności.

III OSK 1552/22, DS.523.541.2020

III OSK 1877/22, DS.523.1166.2020