NSA: bank, SKOK i BIK a dane niedoszłych klientów

NSA potwierdza: Bank, SKOK i BIK nie mogą przetwarzać danych niedoszłych klientów

Źródło: iStock

Instytucje finansowe mogą przetwarzać dane osobowe w trakcie sprawdzania zdolności kredytowej. Jeśli jednak do zawarcia umowy nie dojdzie, nie są uprawnione do dalszego przetwarzania takich danych i nie mogą odmówić ich usunięcia. Takie jest stanowisko Urzędu Ochrony Danych Osobowych, które potwierdził niedawno w dwóch wyrokach Naczelny Sąd Administracyjny.

NSA w dwóch orzeczeniach (sygn. akt. III OSK 1552/22 i III OSK 1877/22) podtrzymał stanowisko prezesa UODO w sprawach przetwarzania danych niedoszłej klientki SKOK Stefczyka oraz niedoszłego klienta Alior Banku. Obie instytucje finansowe sprawdzały wiarygodność finansową osób starających się o kredyt w Biurze Informacji Kredytowej SA, a kiedy do zawarcia umowy nie doszło - odmówiły usunięcia ich danych.

Prezes UODO stwierdził, że jeśli do zawarcia umowy nie doszło, nie ma już podstaw do przetwarzania danych. Dwie decyzje w tej sprawie zostały zaskarżone przez SKOK, Alior Bank i BIK.

Brak podstaw w prawie bankowym

Alior Bank podstawę do dalszego przetwarzania danych wywodził z art. 70, art. 105 ust. 4 oraz art. 105a ust. 1 prawa bankowego. Zdaniem NSA te przepisy odnoszą się jednak do przetwarzania danych przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu. Brak jest natomiast przesłanek legalizujących dalsze przetwarzanie danych, gdy do zawarcia umowy nie dochodzi. Przesłanki takiej NSA nie doszukał się również w art. 70a ust. 1-2 prawa bankowego.

NSA nie znalazł także przesłanek legalizujących dalsze przetwarzanie danych osobowych w sprawie SKOK. Jak zwrócił uwagę, wszelkie regulacje znoszące ochronę danych osobowych muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji, jakiej mają służyć.

RODO i prawnie uzasadniony interes

Drugim argumentem, na który powoływały się instytucje finansowe, jest prawnie uzasadniony interes realizowany przez administratora danych, przewidziany w art. 6 ust. 1 lit. f rozporządzenia RODO.

Takim interesem miałoby być ewentualne dochodzenie roszczeń powstałych w związku z wykonywaniem czynności bankowych oraz innych wynikających z przepisów powszechnie obowiązujących. Jak jednak wskazał prezes UODO i co potwierdził NSA, prawnie uzasadniony interes dotyczy sytuacji już istniejącej, nie zaś takiej, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

Zakaz przetwarzania danych „na przyszłość"

NSA zwrócił też uwagę, że na gruncie RODO niedopuszczalne jest przetwarzanie danych osobowych "na przyszłość" w zupełnie innych celach niż je zebrano, bez wyraźnej podstawy prawnej.

Sąd nie zgodził się ze stanowiskiem BIK, jakoby po odmowie zawarcia umowy kredytowej przechowywanie danych wnioskodawcy było dopuszczalne przez dość długi okres (5, 10, a nawet 12 lat), np. w celu budowy modeli scoringowych oraz w celach statystycznych i analiz. NSA zwrócił uwagę, że w takiej sytuacji czasowe ograniczenia przetwarzania danych klientów przewidziane w art. 105a prawa bankowego pozbawione byłyby wartości prawnej i skuteczności.

Czytaj także: NSA: Bank i BIK nie mogą przetwarzać danych niedoszłego kredytobiorcy

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.