NSA potwierdził stanowisko Prezesa UODO: banki i Biuro Informacji Kredytowej nie mogą przetwarzać danych osób, które złożyły wniosek kredytowy, lecz nie zawarły umowy. Oznacza to, że dane tzw. niedoszłych klientów nie mogą być dalej wykorzystywane ani przechowywane przez instytucje finansowe po zakończeniu procesu oceny zdolności kredytowej.
Naczelny Sąd Administracyjny w dwóch sprawach (III OSK 1552/22 oraz III OSK 1877/22) podtrzymał decyzje Prezesa UODO dotyczące przetwarzania danych przez SKOK Stefczyka, Alior Bank oraz Biuro Informacji Kredytowej. Instytucje te odmawiały usunięcia danych osób, które złożyły wnioski kredytowe, ale ostatecznie nie podpisały umów.
NSA zgodził się z argumentacją UODO, że po zakończeniu procesu oceny zdolności kredytowej brak jest podstaw prawnych do dalszego przetwarzania danych osobowych wnioskodawców. Skoro nie doszło do powstania zobowiązania, nie można powoływać się na przepisy Prawa bankowego dotyczące obsługi umów kredytowych.
Sąd wskazał, że art. 70, 105 i 105a Prawa bankowego odnoszą się do danych klientów, wobec których istnieje lub istniało zobowiązanie. Nie mogą więc stanowić podstawy legalizującej przetwarzanie danych osób, z którymi umowa kredytowa ostatecznie nie została zawarta.
W ocenie NSA wszelkie wyjątki od ochrony danych osobowych należy interpretować ściśle – w powiązaniu z celem, dla którego przepisy zostały wprowadzone. Oceniając zdolność kredytową, bank ma podstawę do przetwarzania danych, lecz tylko w tym konkretnym okresie.
NSA uznał również, że nie można powoływać się w tym przypadku na art. 6 ust. 1 lit. f RODO, czyli tzw. prawnie uzasadniony interes administratora. Jak podkreślił sąd, nie można przetwarzać danych „na przyszłość” w innych celach niż te, dla których zostały one pozyskane, jeśli nie istnieje obecnie wyraźna podstawa prawna.
Odrzucono tym samym argumentację BIK, który wskazywał na potrzebę dalszego przechowywania danych w celach statystycznych, analitycznych oraz modelowania ryzyka kredytowego.
Stanowisko NSA istotnie wzmacnia obowiązek minimalizacji danych i ograniczenia celu przetwarzania. Administratorzy danych w sektorze finansowym powinni zweryfikować swoje procedury, zwłaszcza dotyczące okresów przechowywania danych z wniosków kredytowych, które zakończyły się bez zawarcia umowy.
Orzeczenie potwierdza, że w świetle RODO oraz Prawa bankowego nie istnieją przesłanki legalizujące dalsze przetwarzanie danych osobowych niedoszłych klientów — ani w celach biznesowych, ani analitycznych.
UODO, III OSK 1552/22, DS.523.541.2020, III OSK 1877/22, DS.523.1166.2020
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
