Naczelny Sąd Administracyjny potwierdził, że banki i Biuro Informacji Kredytowej nie mają prawa do dalszego przetwarzania danych osobowych osób, które wnioskowały o kredyt, ale nie zawarły umowy. Wyrok NSA z 29 maja 2025 r. ma kluczowe znaczenie dla IOD i administratorów w sektorze finansowym – poznaj szczegóły sprawy, argumentację sądu oraz praktyczne konsekwencje dla ochrony danych osobowych.
29 maja 2025 r. Naczelny Sąd Administracyjny (NSA, sygn. III OSK 984/22) wydał wyrok o doniosłym znaczeniu dla sektora finansowego oraz praktyki inspektorów ochrony danych. Sąd uchylił wcześniejszy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie (sygn. II SA/Wa 506/21) i oddalił skargę Biura Informacji Kredytowej (BIK) na decyzję Prezesa UODO z 15 grudnia 2020 r. Tym samym potwierdził, że banki i BIK nie mogą przetwarzać danych osobowych osób, które złożyły wniosek kredytowy, lecz nie zawarły umowy kredytowej.
Sprawa rozpoczęła się od skargi osoby, która ubiegała się o kredyt, ale ostatecznie nie doszło do podpisania umowy. Mimo to bank oraz BIK nadal przetwarzały jej dane osobowe, pozyskane na potrzeby oceny zdolności kredytowej i ryzyka kredytowego. Prezes UODO uznał, że w takiej sytuacji brak jest podstaw prawnych do dalszego przetwarzania tych danych i nakazał zaprzestanie ich przetwarzania przez bank i BIK.
BIK zaskarżył decyzję do WSA, który przyznał mu rację, wskazując na możliwe podstawy prawne w postaci art. 6 ust. 1 lit. c RODO (obowiązek prawny administratora) w związku z przepisami Prawa bankowego oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora) w związku z art. 118 Kodeksu cywilnego.
Prezes UODO złożył skargę kasacyjną do NSA, który ostatecznie przychylił się do stanowiska organu nadzorczego i oddalił skargę BIK.
NSA jednoznacznie stwierdził, że przetwarzanie danych osobowych w zakresie oceny zdolności kredytowej i analizy ryzyka kredytowego, dotyczące zapytań, które nie zakończyły się zawarciem umowy, nie może być kontynuowane w celu budowy modeli scoringowych czy analiz statystycznych. Sąd podkreślił, że samo złożenie wniosku kredytowego nie uprawnia banków ani BIK do dalszego wykorzystywania danych osobowych, jeśli nie doszło do finalizacji umowy.
NSA wskazał również, że przepisy Prawa bankowego odnoszą się do przetwarzania danych osób, które nawiązały więź prawną z bankiem, a nie tych, z którymi nie doszło do zawarcia zobowiązania. W ocenie sądu, nie istnieje norma prawna, która pozwalałaby na dalsze przetwarzanie danych osobowych niedoszłych klientów banku.
Wyrok NSA potwierdza, że banki i instytucje finansowe muszą przestrzegać zasady minimalizacji danych oraz nie mogą przetwarzać danych osobowych na wyrost, szczególnie w przypadku osób, które nie stały się klientami. Dla inspektorów ochrony danych oznacza to konieczność weryfikacji i dostosowania procedur dotyczących retencji i usuwania danych osobowych osób, które nie zawarły umowy kredytowej.
To już kolejna sprawa, w której NSA potwierdził stanowisko Prezesa UODO w zakresie ochrony danych osobowych niedoszłych klientów banku, co wzmacnia linię orzeczniczą w tej materii (zob. wyrok NSA z 13 lutego 2025 r., sygn. III OSK 6563/21).
Wyrok NSA z 29 maja 2025 r. wyznacza jasne granice dla przetwarzania danych osobowych przez banki i BIK. Przetwarzanie danych osób, które nie zostały klientami, po zakończeniu procesu wnioskowania o kredyt, jest niezgodne z RODO i nie znajduje oparcia w przepisach prawa bankowego. IOD powinni zwrócić szczególną uwagę na praktyki związane z retencją danych i zapewnić ich zgodność z aktualnym orzecznictwem.
UODO, DS.523.71.2020
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
