Naczelny Sąd Administracyjny (NSA) w wyroku z 13 lutego 2025 r. potwierdził, że banki nie mogą przetwarzać danych osobowych wnioskodawców o kredyt, jeśli finalnie nie doszło do zawarcia umowy. Sąd oddalił skargę kasacyjną Alior Banku oraz Biura Informacji Kredytowej (BIK), podtrzymując tym samym decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) oraz wyrok Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie.
Konsekwencje dla banków i Biura Informacji Kredytowej
Decyzja NSA oznacza, że banki i instytucje gromadzące dane kredytowe nie mogą przetwarzać informacji o osobach, które wnioskowały o kredyt, ale ostatecznie nie podpisały umowy. Jest to istotne rozstrzygnięcie w kontekście ochrony danych osobowych oraz zgodności z RODO.
Prezes UODO uznał, że skoro nie doszło do zawarcia umowy kredytowej, bank i BIK nie mają podstaw prawnych do dalszego przetwarzania danych osobowych. Organ nadzorczy wydał decyzję nakazującą zaprzestanie przetwarzania takich informacji po przeprowadzeniu postępowania, które wszczęto na skutek skargi klienta.
Argumentacja banku i stanowisko sądów
Alior Bank i BIK argumentowały, że mogą przetwarzać dane osobowe na podstawie:
- art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora),
- art. 105a Prawa bankowego, który określa zasady gromadzenia i przetwarzania danych w celu oceny zdolności kredytowej oraz zarządzania ryzykiem kredytowym.
Sądy obu instancji nie podzieliły jednak tej argumentacji. WSA uznał, że bank nie może powoływać się na te przepisy w sytuacji, gdy nie doszło do zawarcia umowy kredytowej. W jego ocenie dalsze przetwarzanie danych osoby, która nie otrzymała kredytu, jest bezzasadne i narusza przepisy ochrony danych osobowych.
NSA, rozpatrując skargę kasacyjną, podtrzymał stanowisko WSA oraz decyzję Prezesa UODO, co oznacza ostateczne rozstrzygnięcie sprawy na niekorzyść banku i BIK.
To orzeczenie ma istotne konsekwencje dla sektora bankowego oraz Biura Informacji Kredytowej. Banki będą musiały zmienić swoje praktyki dotyczące przechowywania i przetwarzania danych potencjalnych klientów. Wnioskodawcy, którzy nie otrzymali kredytu, zyskali natomiast silniejszą ochronę swoich danych osobowych.
Sygnatury spraw:
- WSA: II SA/Wa 1982/20
- NSA: III OSK 6563/21
- Decyzja Prezesa UODO: ZSPR.440.1522.2018