Rzeczpospolita
Prawo

Wystąpiłeś o kartę czy kredyt, ale ich nie wziąłeś? NSA: BIK musi usunąć twoje dane

Biuro Informacji Kredytowej nie ma prawa do przetwarzania danych osobowych z zapytań kredytowych osób, które starały się o kredyt czy kartę, ale do podpisania umowy nie doszło.

Publikacja: 30.05.2025 04:39

Wystąpiłeś o kartę czy kredyt, ale ich nie wziąłeś? NSA: BIK musi usunąć twoje dane

Foto: rp.pl / Paweł Rochowicz

Aleksandra Tarka

W czwartek Naczelny Sąd Administracyjny wydał precedensowy wyrok dotyczący ochrony danych osobowych klientów banków. Wynika z niego jasno, że Biuro Informacji Kredytowej (BIK) musi usuwać dane klientów, których umowy z bankiem nie doszły do skutku. W konsekwencji nie może ich dalej wykorzystywać, np. do oceny zdolności kredytowej czy budowy tzw. modeli scoringowych. 

Kiedy bank i BIK może przetwarzać dane osobowe klientów?

Spór trafił na wokandę z inicjatywy niezadowolonego niedoszłego klienta banku. Mężczyzna w styczniu 2020 r. zaalarmował prezesa Urzędu Ochrony Danych Osobowych (UODO), bo był przekonany, że instytucja finansowa i BIK przetwarzają jego dane osobowe bezprawnie. 

Wyjaśnił, że w marcu 2019 r. bank wysłał zapytanie kredytowe do BIK, w wyniku czego w bazie BIK przetwarzane są jego dane osobowe dotyczące tego zapytania. Mężczyzna zaznaczył jednak, że do zawarcia umowy ostatecznie nie doszło i wniósł o zobligowanie instytucji do usunięcia jego danych osobowych przetwarzanych bez podstawy prawnej.

Prezes UODO nie zbagatelizował sprawy. Ustalił, że faktycznie mężczyzna za pośrednictwem systemu bankowego, złożył wniosek o kartę kredytową. W związku z tym bank pozyskał jego dane osobowe w celu oceny zdolności kredytowej. Były to nie tylko numer PESEL, numer CIS, seria i numer dowodu osobistego oraz data jego ważności czy adres, e-mail oraz numer telefonu. Na tej liście znalazły się również informacje o stanie cywilnym, liczbie dzieci na utrzymaniu, a także szczegółowe dane dotyczące jego sytuacji finansowej, takie jak kwota zobowiązań pozakredytowych, wydatki, rodzaje dochodu itd.

Ile czasu dane osobowe mogą być przetwarzane przez banki i BIK?

Bank odpowiedział, że aktualnie przetwarza dane osobowe z wniosku kredytowego w celu ustalenia, dochodzenia lub obrony roszczeń, z zastosowaniem sześcioletniego terminu przedawnienia. Z wyjaśnień BIK wynikało, że ten także przetwarza znaczną część danych osobowych niedoszłego klienta banku, które zostały przekazane na podstawie art. 105 ust. 4 oraz 105a ust. 1 prawa bankowego oraz umowy. 

BIK tłumaczył, że przetwarza dane pochodzące z zapytań kredytowych przez okres 12 miesięcy od ich złożenia m.in. do oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta oraz w celu przeciwdziałania przestępstwom. Instytucja przyznała też, że jeszcze przez pięć lat będzie przetwarzała dane osobowe w związku ze złożonym zapytaniem kredytowym w celu budowy tzw. modeli scoringowych, tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego. A w celach statystycznych, analiz i ewentualnych reklamacji oraz roszczeń nawet do dziesięciu lat. Nie było też wątpliwości, że obie instytucje nie chciały dobrowolnie usunąć danych skarżącego ze swoich baz.

Czy niedoszły klient może żądać usunięcia danych osobowych przez bank i BIK?

UODO doszedł do przekonania, że rację ma obywatel. Nakazał BIK i bankowi usunięcie jego danych osobowych związanych z zapytaniem kredytowym. Prezes UODO podkreślił, że w spornym przypadku nie doszło do zawarcia umowy. A to oznacza, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy zarówno przez bank, jak i BIK. 

Taka wykładnia przepisów nie przekonała BIK. Zaskarżył decyzję UODO, a Wojewódzki Sąd Administracyjny w Warszawie przyznał mu rację. Ostatecznie jednak diametralnie inaczej do problemu podszedł NSA i szala zwycięstwa przechyliła się na stronę UODO i obywatela. Nie dopatrzył się bowiem podstaw do dalszego przetwarzania danych w sporej sprawie.

Czytaj więcej

NSA: bank nie może przetwarzać danych osobowych na zapas
Dane osobowe
NSA: bank nie może przetwarzać danych osobowych na zapas

NSA przypomniał, że art. 105a prawa bankowego odnoszą się do przetwarzania danych osób, ale tych, które nawiązały więź prawną z bankiem. A w jego ocenie na gruncie prawa bankowego brak jest normy prawnej, która określałaby podstawę prawną do przetwarzania danych osobowych osób, z którymi nie doszło do nawiązania zobowiązania. Za korzystną zaś dla instytucji finansowych wykładnią nie przemawia zaś art. 6 ust. 1 RODO.

Jak wyjaśnił sąd, regulacja ta wprowadza ograniczenia w zakresie konstytucyjnego prawa do prywatności. W konsekwencji trzeba do nich stosować art. 31 ust. 3 konstytucji. W świetle orzecznictwa przepisy, które wprowadzają ograniczenia w zakresie konstytucyjnych praw jednostki, a takim jest prawo do prywatności, muszą być interpretowane wyłącznie z zastosowaniem dyrektyw językowych. Tę regułę naruszył sąd I instytucji i dokonał rozszerzającej wykładni przepisów prawa bankowego i RODO.

Czy bank i BIK musi usuwać dane z zapytań kredytowych?

Sąd szczegółowo odniósł się do regulacji prawa bankowego w kontekście przetwarzania danych osobowych uzyskiwanych w trakcie świadczenia usług bankowych. I nie miał wątpliwości, że nie ma w nich podstawy do przetwarzania danych osób, z którymi nie nawiązano stosunku zobowiązaniowego, czyli gdy nie doszło do finalizacji umowy. Przepisy te odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Ich interpretacja językowa prowadzi bowiem do jednoznacznego wniosku, że przetwarzanie danych osobowych osób, które nie nawiązały jakiegoś stosunku zobowiązaniowego jest prawnie niedopuszczalne. 

W szczególności sąd nie zgodził się, że takie uprawnienie daje instytucjom finansowym artykuł 6 ust. 1 lit. c RODO, tj., gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, ciążącego na administratorze. Obowiązek prawny musi wynikać z prawa, a ani art. 105, ani art. 105a prawa bankowego go nie wskazują. Wskazują tylko na obowiązek i podstawę przetwarzania danych osobowych klientów, którzy nawiązali stosunki zobowiązaniowe. 

Ponadto sąd wyraźnie odniósł się do pojęcia prawnie uzasadnionego interesu z art. 6 ust. 1 lit. e RODO, który w jego zdaniem też ma wynikać z przepisu prawa. Jak bowiem zauważył sędzia NSA Rafał Stasikowski, przyjęcie, że prawnie uzasadniony interes to każdy, który jest zgodny z prawem, prowadziłoby do legalizacji przetwarzania danych osobowych we wszystkich sytuacjach, które są objęte jakąkolwiek regulacją ustawową, dotyczą interesów, które są zgodne z ustawami. Wtedy wszystko można by przetwarzać, a intencją jest ograniczenie przetwarzania do dosyć precyzyjnie określonych przypadków. Wyrok jest prawomocny.

Sygnatura akt: III OSK 984/22

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Bankowość Karty płatnicze Kredyty Organizacje Dane Osobowe Sądy i Trybunały Sądy Administracyjne NSA Biuro Informacji Kredytowej (BIK) Naczelny Sąd Administracyjny (NSA) RODO Urząd Ochrony Danych Osobowych (UODO)

W czwartek Naczelny Sąd Administracyjny wydał precedensowy wyrok dotyczący ochrony danych osobowych klientów banków. Wynika z niego jasno, że Biuro Informacji Kredytowej (BIK) musi usuwać dane klientów, których umowy z bankiem nie doszły do skutku. W konsekwencji nie może ich dalej wykorzystywać, np. do oceny zdolności kredytowej czy budowy tzw. modeli scoringowych. 

Kiedy bank i BIK może przetwarzać dane osobowe klientów?

Pozostało jeszcze 94% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Dariusz Pluta: Proces wyborczy Nawrocki-Onet byłby niewydolny
Dobra osobiste
Dariusz Pluta: Proces wyborczy Nawrocki-Onet byłby niewydolny
VI Krajowe Dni Pola Bratoszewice 2025
Materiał Promocyjny
VI Krajowe Dni Pola Bratoszewice 2025
Co decyduje o zaliczeniu darowizny do schedy spadkowej? Ważne orzeczenie SN
Spadki i darowizny
Co decyduje o zaliczeniu darowizny do schedy spadkowej? Ważne orzeczenie SN
Zwolniona za uderzenie podwładnego w miejsca intymne, dostała odszkodowanie
Praca, Emerytury i renty
Zwolniona za uderzenie podwładnego w miejsca intymne, dostała odszkodowanie
Karol Nawrocki
Dobra osobiste
Profesor UJ: Sprawę Karola Nawrockiego należy zbadać jak najszybciej
Cyberprzestępczy biznes coraz bardziej profesjonalny. Jak ochronić firmę
Materiał Promocyjny
Cyberprzestępczy biznes coraz bardziej profesjonalny. Jak ochronić firmę
Część wywłaszczonych pod drogi ma szansę na więcej odszkodowania
Nieruchomości
Część wywłaszczonych pod drogi ma szansę na więcej odszkodowania
Pogodny dzień. Wiatr we włosach. Dookoła woda po horyzont
Materiał Promocyjny
Pogodny dzień. Wiatr we włosach. Dookoła woda po horyzont
e-Wydanie