1 dzień temu
Postępowanie przed organem nadzorczym zostało zainicjowane skargą osoby fizycznej, która ubiegała się o kredyt bankowy. Choć proces oceny wniosku został przeprowadzony, finalnie nie doszło do zawarcia umowy kredytowej. Pomimo tego bank oraz Biuro Informacji Kredytowej w dalszym ciągu przetwarzały dane osobowe tej osoby – w tym informacje zgromadzone w trakcie analizy zdolności kredytowej i ryzyka finansowego.
Skarżący zakwestionował legalność takiego przetwarzania, podnosząc, iż skoro nie doszło do podpisania umowy, to cel przetwarzania danych ustał, a dalsze ich przechowywanie nie znajduje uzasadnienia ani w przepisach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO), ani w ustawie z 29.8.1997 r. – Prawo bankowe (t.j. Dz.U z 2024 r. poz. 1646; dalej: PrBank).
W wyniku postępowania administracyjnego Prezes UODO wydał decyzję z 15.12.2020 r. (DS.523.71.2020), w której nakazał bankowi oraz BIK zaprzestanie dalszego przetwarzania danych pozyskanych na potrzeby niezakończonego procesu kredytowego. Wskazał przy tym, iż zarówno cele analityczne, jak i ewentualna potrzeba zabezpieczenia przed roszczeniami nie usprawiedliwiają dalszego przetwarzania danych osobowych osoby, która nie stała się klientem banku.
Stan prawny i przebieg postępowania sądowego
Decyzja Prezesa UODO została zaskarżona przez BIK do Wojewódzkiego Sądu Administracyjnego w Warszawie. BIK argumentował, iż przetwarzanie danych było legalne, ponieważ znajdowało podstawę prawną zarówno w art. 6 ust. 1 lit. c RODO (obowiązek wynikający z przepisów prawa), jak i art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora). W szczególności BIK powoływał się na:
- art. 105 ust. 4 i art. 105a ust. 1–1c PrBank, regulujące dostęp do informacji kredytowych i gospodarczych,
- art. 118 ustawy z 23.4.1964 – Kodeks cywilny (t.j. Dz.U. z 2024 r. poz. 1061; dalej: KC), który wyznacza terminy przedawnienia roszczeń i w ocenie BIK uzasadniał konieczność przechowywania danych przez co najmniej trzy lata.
Wojewódzki Sąd Administracyjny w wyroku z 29.10.2021 r., II SA/Wa 506/21, Legalis uwzględnił skargę BIK i uchylił decyzję organu nadzorczego, przyjmując szeroką interpretację przepisów sektorowych oraz uznając, iż potencjalna potrzeba ochrony przed roszczeniami lub uwzględnienia danych w analizach statystycznych stanowi wystarczające uzasadnienie dla dalszego ich przetwarzania.
Na skutek wniesienia skargi kasacyjnej przez Prezesa UODO, sprawa została rozpoznana przez Naczelny Sąd Administracyjny, który 29.5.2025 r. wydał wyrok, III OSK 984/22, uchylając orzeczenie WSA i oddalając skargę BIK w całości.
Argumentacja NSA
NSA w pełni podzielił stanowisko Prezesa UODO, wskazując, iż dalsze przetwarzanie danych osoby, która nie zawarła umowy kredytowej, narusza podstawowe zasady ochrony danych osobowych wynikające z RODO. W szczególności:
- nie istnieje obowiązek prawny przetwarzania takich danych po zakończeniu procedury kredytowej bez zawarcia umowy, co wyklucza zastosowanie art. 6 ust. 1 lit. c RODO,
- prawnie uzasadniony interes administratora nie może usprawiedliwiać dalszego przechowywania danych, o ile osoba, której dane dotyczą, nie została klientem banku i nie zaistniał stosunek prawny mogący generować roszczenia.
Sąd podkreślił, iż przetwarzanie danych na potrzeby tzw. modeli scoringowych, czyli algorytmicznych systemów oceny wiarygodności finansowej, wymaga istnienia konkretnej podstawy prawnej. Dane wykorzystywane do budowy i optymalizacji takich modeli – choćby jeżeli mają istotną wartość analityczną – muszą pochodzić od osób, wobec których istnieje relacja kontraktowa, bądź jednoznaczna zgoda na takie przetwarzanie.
W ocenie NSA, dane osób, które nie podpisały umowy, nie mogą być wykorzystywane do tworzenia statystyk, analiz czy profilowania w ramach systemów oceny ryzyka. Takie przetwarzanie narusza zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO) oraz zasadę ograniczenia celu (art. 5 ust. 1 lit. b RODO), a interes administratora nie przeważa nad interesem osoby fizycznej.
Komentarz praktyczny
Wyrok NSA z 29.5.2025 r. ma istotne konsekwencje dla banków, firm pożyczkowych, BIK oraz innych instytucji operujących na rynku informacji kredytowej. Po pierwsze, ogranicza możliwość powoływania się na interes administratora jako podstawę do retencji danych, jeżeli nie doszło do zawarcia umowy z osobą fizyczną. Po drugie, zmusza instytucje finansowe do przeglądu zasad działania systemów scoringowych, które nierzadko wykorzystywały dane także tych osób, które nie stały się klientami.
Z punktu widzenia zgodności z RODO konieczne jest wdrożenie mechanizmów umożliwiających szybkie usuwanie lub anonimizację danych osobowych wnioskodawców, których proces kredytowy zakończył się bez podpisania umowy. Niezbędne może być także dostosowanie polityk prywatności oraz dokumentacji wewnętrznej, w tym rejestrów czynności przetwarzania, do realiów wynikających z orzecznictwa sądów administracyjnych.
Wyrok ten sygnalizuje również istotne ograniczenie w wykorzystywaniu danych na potrzeby trenowania modeli predykcyjnych i algorytmicznych bez spełnienia przesłanek legalności przetwarzania. W kontekście rosnącego znaczenia przetwarzania danych w celach statystycznych i automatyzacji procesów decyzyjnych, linia orzecznicza reprezentowana przez NSA stanowi przypomnienie, iż choćby dane potencjalnie użyteczne nie mogą być wykorzystywane w sposób niezgodny z celami, dla których zostały zebrane.
Wreszcie, wyrok może stanowić punkt odniesienia dla interpretacji przepisów także w innych sektorach – m.in. ubezpieczeniowym, HR czy fintech – w których wykorzystuje się dane kandydatów, klientów lub użytkowników jeszcze przed zawarciem umowy. W każdym z tych przypadków administratorzy danych muszą zrewidować swoje praktyki w świetle zasad celowości, adekwatności oraz ograniczenia przechowywania, jeżeli chcą uniknąć zarzutów naruszenia RODO.
Jak przypomina Prezes UODO, nie jest to pierwszy przypadek, w którym Naczelny Sąd Administracyjny podzielił jego ocenę w zakresie niedopuszczalności przetwarzania danych osób, które nie zawarły umowy kredytowej.
Wyrok Naczelnego Sąd Administracyjnego z 29.5.2025 r., III OSK 984/22
![Pożyczkę zaciągnął oszust, na Twoje skradzione dane? Sąd i tak wyda nakaz zapłaty, a komornik ją od Ciebie wyegzekwuje. Tak orzekają polskie sądy [prawomocny wyrok]](https://g.infor.pl/p/_files/38507000/oszustwo-internetowe-cyberprzestepstwo-phishing-38507058.jpg)
