Tak uznał we wtorek Naczelny Sąd Administracyjny w przełomowym wyroku dotyczącym przetwarzania danych osobowych klientów banków. Wynika z niego, że nie ma „paragrafu", który pozwala na przetwarzanie danych dotyczących zapytań kredytowych niedoszłych klientów, czyli gromadzenia informacji o ilości i częstotliwości występowania o kredyt, gdy do umowy ostatecznie do doszło.

Czytaj także:

Jak ocenia nas bank i co RODO do tego

Testowanie ofert

Sprawa dotyczyła klienta jednego z banków, który w styczniu 2014 r. za pośrednictwem strony internetowej złożył wniosek kredytowy. Bank dokonał weryfikacji jego wiarygodności zdolności kredytowej w Biurze Informacji Kredytowej (BIK). Podstawą tego była pisemna zgoda na weryfikację w BIK i innych bazach. Do finalizacji umowy jednak nie doszło. W maju 2014 r. niedoszły kredytobiorca – osobiście w oddziale, a potem też telefonicznie za pośrednictwem infolinii – złożył wniosek o usunięcie zapytań kredytowych dokonanych przez bank w BIK i historii archiwalnej.

Bank odpowiedział jednak, że zapytań kredytowych dokonano w związku z zamiarem ubiegania się o kredyt i miały one charakter jednorazowy. Jednocześnie uznał, że nie ma podstaw prawnych do usunięcia wskazanych zapytań, gdyż zostały dokonane zasadnie i poprawnie, zgodnie z wolą klienta.

Podobnego zdania było też BIK, które tłumaczy, że przetwarza dane przekazane przez bank w związku ze złożeniem trzech zapytań kredytowych oraz dwóch zapytań „zarządzanie klientem". Dane z zapytań przetwarzane są w bazie informacji o zapytaniach (BIOZ). Informacja o liczbie i częstotliwości składanych wniosków przez klienta jest zaś istotną informacją w procesie oceny zdolności i analizy ryzyka kredytowego dokonywanej przed udzieleniem kredytu danej osobie.

To nie przekonało jednak Generalnego Inspektora Ochrony Danych Osobowych (GIODO – obecnie UODO). W lutym 2016 r. nakazał bankowi usunięcie danych osobowych niedoszłego kredytobiorcy w zakresie zapytań kredytowych przetwarzanych przez BIK. Nie miał bowiem wątpliwości, że ani bank, ani BIK nie mają prawa do przetwarzania danych niedoszłego kredytobiorcy w zakresie zapytań kredytowych oraz przetwarzania ich przez BIK po dokonaniu weryfikacji zdolności kredytowej.

I tak powstał spór, czy banki i BIK mogą przetwarzać dane w zakresie wniosków kredytowych, gdy nie doszło do sfinalizowania umowy.

Wojewódzki Sąd Administracyjny w Warszawie uznał, że nie. Zgodził się z GIODO, że gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy z bankiem, nie ma przesłanek ustawowych legalizujących dalsze przetwarzanie przez bank danych osobowych niedoszłego klienta. WSA nie przekonała m.in argumentacja, że przetwarzanie danych w zakresie pytań kredytowych po dokonaniu weryfikacji zdolności kredytowej konieczne jest na potrzeby tworzenia tzw. modeli scoringowych, czyli metody oceny wiarygodności ubiegającego się o kredyt bankowy. Podstawy prawnej do przetwarzania danych dotyczących tzw. historii zapytań kredytowych w przypadku, gdy nie doszło do sfinalizowania umowy, nie dopatrzył się też NSA. Co prawda sąd nie negował, że sporne dane dotyczące wniosków kredytowych służą bankom m.in. do tworzenia modeli scoringowych.

Konieczny paragraf

Jednak jak tłumaczyła sędzia NSA Tamara Dziełakowska, podstawową kwestia to czy istnieje podstawa prawna do zbierania i przetwarzania danych osobowych. W ocenie NSA nie jest nią ani art. 105 ust. 4 ani 105a ust. 1 prawa bankowego. Sąd zastrzegł, że przetwarzania historii zapytań kredytowych nie legalizuje dodany do prawa bankowego w maju tego roku art. 105a ust. 1a dotyczący zautomatyzowanego przetwarzania.

Wyrok jest prawomocny.

Sygnatura akt: I OSK 2567/17

Opinia dla „rzeczpospolitej"

Michał Kluska , adwokat kancelaria DZP

Orzeczenie NSA oceniam negatywnie. Pytanie, jakie należało postawić, nie dotyczy podstawy przetwarzania, lecz – zgodnie z zasadą ograniczonego przechowywania – terminu, przez jaki takie przetwarzanie jest uprawnione To, że jest dopuszczalne, nie mam wątpliwości. Bank nie może zostać pozbawiony danych z wniosku klienta chociażby z tego względu, że na podstawie prawa bankowego jest zobligowany do wyjaśnienia klientowi czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. Samej podstawy prawnej można było szukać w realizacji prawnie uzasadnionego interesu administratora, jak również realizacji obowiązków wynikających z przepisów prawa. Wątpię, aby banki na podstawie jednostkowego wyroku podejmowały decyzje o zmianie zasad funkcjonowania i same usuwały dane. Niemniej klient może żądać ich usunięcia, a ewentualną odmowę kwestionować w Urzędzie Ochrony Danych Osobowych. Trudno przesądzić, czy NSA podtrzyma niekorzystną dla banków wykładnię w innych sprawach. Gdyby tak się stało, to dopiero taka utrwalona linia orzecznicza mogłaby mieć realny wpływ na zmianę praktyki. Ale na to trzeba jeszcze poczekać.