Czy banki mogą gromadzić dane byłych i niedoszłych klientów? Ważne wyroki NSA

10 lipca NSA uwzględnił dwie skargi kasacyjne Prezesa Urzędu Ochrony Danych Osobowych. W jednej z nich organ stwierdził, że ewentualne przyszłe roszczenia byłego klienta banku nie uzasadniają przetwarzania jego danych osobowych. W drugiej zaś, że bank, jak i BIK są zobowiązane do zaprzestania przetwarzania danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy.

Bank nie może trzymać danych osobowych byłego klienta na wszelki wypadek 

W pierwszej ze spraw Santander Consumer Bank sprzedał wierzytelność klienta innemu podmiotowi. Podstawę przetwarzania danych widział w uzasadnionym interesie związanym z ewentualnymi roszczeniami, np. klienta wobec banku. Prezes UODO nakazał usunąć dane byłego klienta banku. Bank zaskarżył tę decyzję do sądu administracyjnego i początkowo odniósł sukces. 

NSA - rozpatrując skargę Prezesa UODO na wyrok WSA –  stwierdził, że bank nie wskazał istnienia roszczeń, których zaspokojenia domaga się od skarżącego oraz nabywcy wierzytelności, jak również nie wykazał, aby zaspokojenia roszczeń domagał się od banku nabywca wierzytelności lub skarżący. Naczelny Sąd Administracyjny podzielił stanowisko Prezesa UODO, że ewentualne i niepewne roszczenia, które hipotetycznie mogłyby pojawić się w przyszłości nie są wystarczającą przesłanką uzasadniającą przetwarzanie takich danych. A skoro nie istnieje cel, który uzasadniałby przetwarzanie danych osobowych byłego klienta, to należy je usunąć.

- Administrator nie może powoływać się na uzasadniony interes (art. 6 ust. 1 lit. f RODO) i przetwarzać danych osoby, z którą nie łączy go już umowa – uznał NSA (sygn. akt. III OSK 1594/22).  

Przypomnijmy, że inne zasady przetwarzania danych byłych klientów obowiązują w przypadku wygaśnięcia zobowiązania kredytowego z powodu zalegania ze spłatą kredytu.  Zgodnie z art. 105a  ust. 3 Prawa bankowego  bank może przetwarzać dane dłużnika bez jego zgody w BIK. Dane te będą przetwarzane przez instytucje finansowe przez pięć lat od dnia wygaśnięcia zobowiązania. W kilkunastu sprawach NSA potwierdził, że bank może przetwarzać dane klienta zalegającego ze spłatą pod warunkiem, że  wcześniej skutecznie powiadomi go o tym zamiarze i odczeka 30 dni.  

Czytaj więcej:

ABC Firmy

Czy RODO chroni jednoosobowego przedsiębiorcę jak konsumenta w banku i BIK?

Po spłacie kredytu i wygaśnięciu umow...

Pro

Dane niedoszłych kredytobiorców mają zniknąć z banku i BIK

NSA uwzględnił także inną skargę kasacyjną Prezesa UODO na wyrok sądu niższej instancji. Organ nadzorczy wniósł o uchylenie w całości zaskarżonego wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie i oddalenie skargi ING Banku Śląski oraz Biura Informacji Kredytowej S.A.

NSA w wyroku przychylił się do skargi kasacyjnej i uchylił wyrok WSA. Uznał tym samym, że organ nadzorczy słusznie nakazał usunięcie danych niedoszłego klienta banku, dotyczące jego zapytania kredytowego, spółce ING Bank Śląski oraz Biuru Informacji Kredytowej (BIK). 

NSA potwierdził stanowisko Prezesa UODO, że BIK i bank są zobowiązane do zaprzestania przetwarzania danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy o kredyt. Odpada bowiem wówczas cel przetwarzania, jakim jest badanie zdolności kredytowe  (syg. akt. III OSK 165/22). 

- Przetwarzanie danych niedoszłego klienta z powołaniem się na przesłanki zawarte w art. 105a Prawa bankowego jest niewłaściwe. Dotyczy ono bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Tymczasem w sprawie tej pomiędzy bankiem a skarżącym nie doszło do zawarcia umowy i powstania zobowiązania, co stosownie do art. 105a ust. 1-6 Prawa bankowego dawałoby podstawę do dalszego przetwarzania danych osobowych skarżącego -  argumentował Prezes UODO, a NSA się z tym zgodził.

To kolejny wyrok w podobnej sprawie. W maju informowaliśmy o precedensowym wyrok dotyczącym mężczyzny, który starał się o kartę kredytową. Bank wysłał zapytanie do BIK, w wyniku czego w bazie BIK przez kilka lat były przetwarzane dane dotyczące tego zapytania. Skarżący mężczyzna zaznaczył , że do zawarcia umowy ostatecznie nie doszło i wniósł o zobligowanie instytucji do usunięcia jego danych osobowych przetwarzanych bez podstawy prawnej. Również w tamtej sprawie interweniował Prezes UODO, a NSA podzielił jego stanowisko, że Biuro Informacji Kredytowej musi usuwać dane klientów, których umowy z bankami nie doszły do skutku.