29 maja 2025 r. Naczelny Sąd Administracyjny (NSA) wydał przełomowy wyrok, uchylając wyrok Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie z 29 października 2021 r. i oddalając skargę Biura Informacji Kredytowej (BIK) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) z 15 grudnia 2020 r.
Sprawa dotyczyła przetwarzania danych osobowych niedoszłego klienta
Decyzja Prezesa UODO wynikała z postępowania wszczętego na skutek skargi osoby, która ubiegała się o kredyt w banku, lecz ostatecznie nie doszło do zawarcia umowy kredytowej. Pomimo tego, bank oraz BIK kontynuowały przetwarzanie jej danych osobowych, które zostały pozyskane na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego.
Organ nadzorczy uznał, że brak zawarcia umowy kredytowej pozbawia bank i BIK podstaw prawnych do dalszego przetwarzania tych danych w zakresie wynikającym z zapytania kredytowego.
Postępowanie sądowe – dwie instancje, różne stanowiska
BIK zaskarżył decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd ten przychylił się do argumentów BIK, wskazując na podstawy prawne przetwarzania danych, takie jak:
- art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 oraz art. 105a ust. 1-1c Prawa bankowego,
- art. 6 ust. 1 lit. f RODO w związku z art. 118 Kodeksu cywilnego.
W ocenie WSA, te przepisy pozwalały BIK na dalsze przetwarzanie danych nawet, jeśli nie doszło do zawarcia umowy kredytowej.
Prezes UODO wniósł skargę kasacyjną do NSA, który w ostatecznym rozstrzygnięciu uchylił wyrok WSA i oddalił skargę BIK. Tym samym NSA poparł stanowisko organu nadzorczego zawarte w decyzji z 15 grudnia 2020 r.
Kluczowe stanowisko NSA
NSA zgodził się z Prezesem UODO, że dane osobowe niedoszłych klientów banku, pozyskane w ramach zapytań kredytowych, które nie zakończyły się przyznaniem kredytu, nie mogą być dalej przetwarzane na potrzeby tworzenia tzw. modeli scoringowych.
Modele scoringowe to narzędzia statystyczne wykorzystywane przez banki i instytucje pożyczkowe do oceny zdolności kredytowej, analizy ryzyka oraz rozpatrywania reklamacji i roszczeń odszkodowawczych. Podstawą prawną przetwarzania danych w tym zakresie jest art. 6 ust. 1 lit. f RODO, dotyczący prawnie uzasadnionego interesu administratora danych.
Jednak NSA podkreślił, że ten prawnie uzasadniony interes nie może być wykorzystywany do przetwarzania danych osób, które nie zostały klientami banku – czyli tych, z którymi nie podpisano umowy kredytowej.
Sygnatury akt
- Wyrok WSA w Warszawie: II SA/Wa 506/21
- Wyrok NSA: III OSK 984/22