"If you can dream about something, you can do it"

Walt Disney

NSA potwierdził, że bank nie może przetwarzać danych osoby, której odmówił kredytu.

NSA potwierdził, że bank nie może przetwarzać danych osoby, której odmówił kredytu.

Oddalenie skargi kasacyjnej Alior Banku i Biura Informacji Kredytowej na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, jakiego dokonał Naczelny Sąd Administracyjny w Warszawie 13 lutego 2025 roku wprowadziło nowe obostrzenia w działalności instytucji finansowych. Od tego momentu przetwarzanie przez banki danych osobowych niedoszłego klienta, któremu instytucja bankowa odmówiła udzielenia kredytu, staje się wykroczeniem przeciwko przepisom Rozporządzenia o Ochronie Danych Osobowych.
Działania organu nadzorczego i wyroki sądów w walce o ochronę danych osób, które otrzymały negatywną decyzję kredytową

Zarówno Prezes Urzędu Ochrony Danych Osobowych, jak i Wojewódzki Sąd Administracyjny w Warszawie oraz Naczelny Sąd Administracyjny stoją na stanowisku, że instytucje bankowe nie mają prawa przetwarzać danych osób, które na skutek nie udzielenia im kredytów, nie zostały ich klientami. Prezes UODO oraz sądy uznają, że skoro do zawarcia umowy kredytowej nie doszło, dalsze przetwarzanie danych osobowych potencjalnego klienta jest niezasadne.

Przed wdaniem tego wyroku działania takie miały miejsce, dane bowiem podlegały przetwarzaniu, mimo, że ocena zdolności kredytowej i analiza ryzyka kredytowego do których zostały pozyskane nie były kontynuowane. Banki wskazywały na konieczność ich kontynuacji ze względu na art. 6 ust. 1 lit. f RODO (uzasadniony interes administratora) oraz art. 105a Prawa bankowego. Działanie to wyszło na jaw po złożeniu do prezesa UODO skargi przez osobę, która kredytu nie otrzymała, miała jednak niezbite dowody na to, że jej dane osobowe dalej są przetwarzane.
Postępowanie odwoławcze prowadzone przez banki

Decyzja Prezesa UODO, wydana na podstawie postępowania wyjaśniającego, które wszczęte zostało na wniosek niedoszłego kredytobiorcy zobowiązała Alior Bank, oraz Biuro Informacji Kredytowej do zaprzestania przetwarzania danych swoich niedoszłych klientów. Instytucje te, nie zgadzając się z postanowieniem, złożyły skargę do Wojewódzkiego Sądu Administracyjnego, a po uzyskaniu niekorzystnego dla siebie wyroku – do Najwyższego Sądu Administracyjnego w Warszawie.

Nie umożliwiło im to jednak kontynuowania przetwarzania danych wnioskujących o nieprzyznany kredyt. NSA oddalił skargi kasacyjne, podtrzymując wyrok WSA oraz decyzję Prezesa UODO. Wyrok oparty został o brak podstaw prawnych do dalszego przetwarzania danych.

Sposób, w jaki instytucje bankowe postępują z danymi osób, które nie zostały ich klientami jest w dalszym ciągu obszarem zainteresowania Urzędu Ochrony Danych Osobowych. Niewykluczone przecież, że procedury takie stosowane były również przez inne banki.

Monika Zygmunt-Jakuć (Inspektor ochrony danych)

Podziel się

Contact us

public.common.backtop