Mateusz S. chciał sprawdzić, czy może uzyskać kredyt w Idea bank S.A. Zadał więc trzy  pytania związane z zaciągnięciem kredytu oraz dwa zapytania o zasady zarządzania klientem. System elektroniczny banku to zapamiętał i od tego momentu mężczyzna znalazł się w bazie tej instytucji, a jego dane osobowe zaczęły być przetwarzane przez Biuro Informacji Kredytowej. Mimo, że w końcu kredytu mu nie udzielono.

Mateusz S. wniósł do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie UODO) skargę na odmowę usunięcia jego danych osobowych przetwarzanych przez bank. W treści skargi wskazał, że żąda usunięcia archiwalnych zapytań banku oraz przetwarzania danych osobowych niezwiązanych z produktem finansowym, który posiada w tym banku.

Czytaj w LEX: RODO a prawo bankowe >

Bank bada zachowania klientów

Bank wyjaśniał, że przetwarza dane osobowe skarżącego nie tylko, by ocenić zdolność kredytową, ale również w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych. Ponadto wskazał, iż przez cele statystyczne należy rozumieć również cele statystyczne przewidziane w art. 26 ust. 2 pkt 1 ustawy bowiem B[...] oferuje bankom różnego rodzaju analizy statystyczne służące badaniu zachowań klientów na rynku bankowym, wysokości wnioskowanych kredytów, częstotliwości składanych wniosków oraz produkty kredytowe.

Czytaj: Dr Kawecki: bank będzie mógł profilować klienta>>

Generalny Inspektor wydał decyzję, w której nakazał zaprzestanie tych praktyk. Podkreślił, że podstawa prawna, na którą powołuje się bank w swoich wyjaśnieniach, tj. art. 105 ust. 4 Prawa bankowego, jedynie ogólnie reguluje prawo banków do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych.

Z tego przepisu nie wynika umocowanie instytucji - BIK do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej. Nie stanowią takiej podstawy regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami.

 


WSA oddala skargę

Do Wojewódzkiego Sądu Administracyjnego decyzję tę zaskarżył bank i Biuro Informacji Kredytowej, ale sąd przyznał rację Inspektorowi Ochrony Danych Osobowych.

WSA w wyroku z 12 lipca 2012 r. zaznaczył, że ustawa o ochronie danych osobowych w art. 1 stwierdza, że przetwarzanie danych osobowych może mieć miejsce jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

W skardze kasacyjnej BIK zarzucił sądowi I instancji, że nie odniósł się do art. 105 ust. 4 ustawy prawo bankowe, który mówi o pozwoleniu na przetwarzanie w celu wykonania analiz zdolności kredytowej.

Czytaj w LEX: Profilowanie i automatyczne podejmowanie decyzji >

Segmentowanie klientów

- W ustawie nie ma kryterium czasowego, do kiedy można przetwarzać dane, a także czy te dane są potrzebne - argumentował pełnomocnik skarżącego BIK, dr Arwid Mednis. - Model scoringowy potrzebny jest do segmentacji klientów, czyli identyfikacji klientów, którzy mogą mieć problemy ze spłata kredytu,  a GIODO nie zbadał przydatności danych dla banku - dodał.

Czytaj w LEX:

Dr Mednis przypomniał, że dokładność modeli scoringowe badana jest przez Inspektora i przy kontroli banku nie stwierdził żadnych uchybień.

Z kolei radca prawny reprezentujący Inspektora, Piotr Bołdyga przekonywał, że ustawa Prawo bankowe nie daje podstaw do takiego przetwarzania danych i gromadzenie danych o potencjalnym kliencie jest nielegalne.

Czytaj w LEX: Środki ochrony prawnej przysługujące w razie naruszenia ochrony danych >

NSA przyznał rację Inspektorowi, skarga BIK okazała się niezasadna. W wyroku z 27 sierpnia br. sąd II instancji stwierdził, że niesłusznie skarżący powołał się na zasadę zaufania do organu państwa, w tym wypadku do GIODO, który skontrolował wcześniej system elektroniczny Biura Informacji. - To, że nie zalecił zmian, było błędem Inspektora, ale nie oznacza, że miał się GIODO trzymać tego nietrafnego stanowiska - powiedziała sędzia sprawozdawca Tamara Dziełakowska.

- Fakt, że Inspektor nie zbadał niezbędności użycia systemu profilowania klientów nie ma znaczenia dla sprawy, gdyż przetwarzanie danych klienta było nielegalne. Prawo bankowe nie legalizuje zbierania danych klientów na przyszłość w jakimkolwiek modelu elektronicznym - dodał sąd.

Sygnatura akt I OSK 2567/17, wyrok z 27 sierpnia 2019 r.