Naczelny Sąd Administracyjny potwierdził, że banki i Biuro Informacji Kredytowej (BIK) nie mają prawa przetwarzać danych osób, które złożyły wniosek o kredyt, ale ostatecznie nie zawarły umowy. Wyroki NSA (sygn. III OSK 1552/22 oraz III OSK 1877/22) kończą kilkuletni spór pomiędzy instytucjami finansowymi a Prezesem Urzędu Ochrony Danych Osobowych (UODO), który już wcześniej uznał takie praktyki za niezgodne z prawem.
Spór o dane niedoszłych klientów
Sprawy dotyczyły dwóch instytucji: SKOK Stefczyka i Alior Banku, które – po odrzuceniu wniosków kredytowych – odmówiły usunięcia danych wnioskodawców z systemów. W obu przypadkach banki pobrały dane z Biura Informacji Kredytowej (BIK) w celu oceny zdolności kredytowej, jednak po braku zawarcia umowy kredytowej nadal je przechowywały.
Prezes UODO uznał, że po zakończeniu procesu oceny zdolności kredytowej ustaje podstawa prawna do dalszego przetwarzania danych osobowych. Decyzje te zostały przez banki i BIK zaskarżone, lecz Naczelny Sąd Administracyjny w całości podtrzymał stanowisko UODO.
NSA: Brak podstawy prawnej po odmowie udzielenia kredytu
Alior Bank argumentował, że ma prawo do przetwarzania danych na podstawie art. 70 oraz art. 105 ust. 4 i 105a ust. 1 Prawa bankowego. Jednak NSA uznał, że przepisy te dotyczą przetwarzania danych tylko przed, w trakcie i po realizacji zobowiązania, a więc nie obejmują sytuacji, gdy umowa kredytowa nie została zawarta.
„Gdy nie dochodzi do zawarcia umowy kredytowej, brak jest przesłanek legalizujących dalsze przetwarzanie danych wnioskodawcy o kredyt” – stwierdził NSA.
Sąd wskazał, że wyjątki od zasady ochrony danych muszą być interpretowane ściśle i proporcjonalnie do celu, któremu służą. W tym przypadku celem było jedynie zbadanie zdolności kredytowej, a po zakończeniu tego procesu brak jest podstawy do dalszego przechowywania danych osobowych.
RODO nie chroni „na zapas”
Instytucje finansowe powoływały się również na art. 6 ust. 1 lit. f RODO, który pozwala na przetwarzanie danych w oparciu o „prawnie uzasadniony interes administratora”, np. w celu zabezpieczenia się przed potencjalnymi roszczeniami.
NSA jednak potwierdził stanowisko Prezesa UODO, że ta przesłanka dotyczy sytuacji realnie istniejącej, a nie hipotetycznej. Oznacza to, że nie można przetwarzać danych „na przyszłość”, tylko po to, by w razie ewentualnych roszczeń mieć do nich dostęp.
„Na gruncie RODO niedopuszczalne jest dalsze przetwarzanie danych osobowych wnioskodawcy ‘na przyszłość’, w zupełnie innych celach niż je zebrano, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań” – uzasadnił sąd.
BIK nie może tworzyć modeli scoringowych na danych niedoszłych klientów
Sąd odniósł się również do praktyki BIK, który argumentował, że przechowywanie danych z niezrealizowanych wniosków kredytowych jest potrzebne do budowy modeli scoringowych – narzędzi służących do oceny zdolności kredytowej i analizy ryzyka.
NSA jednoznacznie odrzucił ten argument, wskazując, że przyjęcie takiego stanowiska pozbawiłoby sensu przepisy art. 105a Prawa bankowego, które szczegółowo regulują czas przetwarzania danych klientów rzeczywistych – tj. takich, którzy zawarli umowy kredytowe.
„Pozyskanie danych na etapie złożenia wniosku kredytowego nie uprawnia SKOK czy banku do ich długotrwałego przechowywania po odmowie zawarcia umowy” – uznał sąd.
Skutki orzeczenia: ważny sygnał dla sektora finansowego
Wyrok NSA potwierdza, że instytucje finansowe nie mogą tworzyć baz danych z informacji o osobach, które nie stały się ich klientami. Dane takie mogą być przetwarzane wyłącznie na etapie analizy wniosku kredytowego i powinny zostać usunięte niezwłocznie po zakończeniu procedury.
Dla banków i SKOK-ów oznacza to konieczność weryfikacji polityk przetwarzania danych oraz procedur współpracy z BIK. Decyzja ta może mieć również wpływ na modele scoringowe stosowane w całym sektorze finansowym, które dotychczas mogły korzystać z danych o niedoszłych klientach.
