Banki i BIK muszą usunąć przetwarzane dane wnioskodawcy, gdy umowa kredytowa nie została zawarta? Analiza kluczowych decyzji Prezesa UODO i wyroków NSA

Banki i BIK muszą usunąć przetwarzane dane wnioskodawcy, gdy umowa kredytowa nie została zawarta? Analiza kluczowych decyzji Prezesa UODO i wyroków NSA

  • Aktualizacja:
  • Czas czytania9 min.

Czy zastanawiałeś się, co dzieje się z Twoimi danymi osobowymi, kiedy złożyłeś wniosek o kredyt, ale ostatecznie nie podpisałeś umowy? Wiele instytucji finansowych, w tym banki i Biuro Informacji Kredytowej (BIK), odmawiało usunięcia tych informacji, argumentując, że mają prawo do ich dalszego przetwarzania w celu oceny ryzyka, budowy modeli scoringowych czy zabezpieczenia się na wypadek ewentualnych roszczeń.

Ta wieloletnia praktyka budziła poważne wątpliwości natury prawnej. Naczelny Sąd Administracyjny (NSA) w serii przełomowych wyroków ostatecznie rozstrzygnął ten spór, podtrzymując stanowisko Prezesa Urzędu Ochrony Danych Osobowych (UODO).

W niniejszym artykule szczegółowo analizujemy linię orzeczniczą NSA, udowadniając, że brak zawarcia umowy kredytowej oznacza brak ustawowych przesłanek legalizujących dalsze przetwarzanie danych niedoszłych klientów.

Reklama
Kluczowe wnioski – Banki i BIK muszą usunąć przetwarzane dane wnioskodawcy:
  • Czy bank może nadal przetwarzać dane, gdy nie doszło do zawarcia umowy kredytowej?

    Nie, Naczelny Sąd Administracyjny (NSA) w wyrokach takich jak III OSK 1552/22 potwierdził, że banki i BIK są zobowiązane do zaprzestania przetwarzania danych niedoszłych klientów, ponieważ odpada pierwotny cel ich zbierania, czyli badanie zdolności kredytowej.

  • Czy Art. 105a Prawa bankowego uprawnia do długotrwałego przechowywania tych danych?

    Nie, zdaniem NSA, Art. 105a Prawa bankowego dotyczy przetwarzania danych, które jest związane z istniejącym zobowiązaniem (przed, w trakcie lub po wygaśnięciu), a nie sytuacji, gdy umowa kredytowa w ogóle nie powstała.

  • Czy uzasadniony interes (Art. 6 ust. 1 lit. f RODO) pozwala na budowanie modeli scoringowych?

    Nie, NSA stwierdził, że wykorzystywanie danych niedoszłych klientów do budowy modeli scoringowych lub statystycznych jest niedopuszczalne, ponieważ dane są przetwarzane „na przyszłość” w zupełnie innych celach niż je zebrano.

Obejrzyj na YouTube / Posłuchaj podcastu

Dlaczego NSA podtrzymał decyzje Prezesa UODO? Kontekst sporów prawnych

Naczelny Sąd Administracyjny (NSA) konsekwentnie stwierdzał, że sprawdzanie zdolności kredytowej upoważnia do przetwarzania danych tylko w trakcie tego procesu, a nie po tym, jak do zawarcia umowy nie doszło.

NSA w szeregu kluczowych wyroków podtrzymał stanowisko Prezesa UODO, który argumentował, że jeśli nie doszło do zawarcia umowy, nie ma już podstaw do przetwarzania danych. Instytucje finansowe, takie jak SKOK Stefczyka, Alior Bank, ING Bank Śląski oraz Biuro Informacji Kredytowej (BIK), skarżyły decyzje UODO, ale ich skargi kasacyjne zostały oddalone lub uchylone przez NSA. W jednej ze spraw, NSA uznał, że organ nadzorczy słusznie nakazał usunięcie danych niedoszłego klienta banku dotyczących jego zapytania kredytowego spółce ING Bank Śląski oraz BIK (sygn. akt. III OSK 165/22).

Czy Art. 105a Prawa bankowego legalizuje przetwarzanie danych po odmowie kredytu?

Nie, NSA jednoznacznie stwierdził, że przepisy Art. 70 oraz Art. 105 ust. 4 i Art. 105a ust. 1 Prawa bankowego odnoszą się do danych przetwarzanych przed powstaniem zobowiązania, w trakcie jego trwania oraz po jego wygaśnięciu, ale nie w sytuacji, gdy umowa kredytowa w ogóle nie powstała.

Gdy nie dochodzi do zawarcia umowy kredytowej, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych wnioskodawcy o kredyt. NSA podkreślił, że wszelkie regulacje znoszące ochronę danych osobowych muszą być odczytywane i wykładane ściśle.

Reklama

Co więcej, NSA uznał, że przyjęcie argumentacji BIK o prawie do przechowywania danych niedoszłych klientów przez długi okres (np. 5 lat dla modeli scoringowych, 10-12 lat dla celów statystycznych) spowodowałoby, że ograniczenia czasowe zawarte w Art. 105a Prawa bankowego, dotyczące klientów z zawartymi umowami, pozbawione byłyby wartości prawnej i skuteczności.

Obalenie argumentu „prawnie uzasadnionego interesu” (Art. 6 ust. 1 lit. f RODO)

Przesłanka z Art. 6 ust. 1 lit. f RODO, na którą powoływały się banki i BIK, dotyczy sytuacji już istniejącej, a nie przetwarzania danych w celu zabezpieczenia się przed ewentualnym i niepewnym roszczeniem, które może, ale nie musi powstać w przyszłości.

Zarówno BIK, jak i instytucje finansowe (np. Alior Bank, SKOK) podnosiły argument, że prawnie uzasadniony interes administratora uzasadnia przetwarzanie danych w celu:

  • Dochodzenia roszczeń powstałych w związku z wykonywaniem czynności bankowych.
  • Budowy tzw. modeli scoringowych (narzędzi do oceny ryzyka).
  • Celów statystycznych i analiz, często przez okres 5 do 12 lat.

W ocenie NSA, na gruncie RODO niedopuszczalne jest dalsze przetwarzanie danych osobowych wnioskodawcy „na przyszłość” w zupełnie innych celach niż je zebrano, zwłaszcza gdy nie zawarto umowy kredytowej i nie można zrekonstruować wyraźnej podstawy prawnej takich działań.

Reklama
Czy przetwarzanie danych osobowych przez banki i BIK jest zgodne z RODO

Zasada ta dotyczy nie tylko niedoszłych, ale i byłych klientów. W innej sprawie (sygn. akt. III OSK 1594/22) NSA uznał, że ewentualne i niepewne przyszłe roszczenia byłego klienta (wobec Santander Consumer Bank) nie są wystarczającą przesłanką uzasadniającą przetwarzanie jego danych osobowych. Jeśli cel, który uzasadniałby przetwarzanie danych byłego klienta, nie istnieje, należy je usunąć.

Studium przypadku: Niedoszli klienci SKOK Stefczyka i Alior Banku (III OSK 1552/22 i III OSK 1877/22)

W dwóch kluczowych sprawach, w których NSA podtrzymał decyzje Prezesa UODO, rozpatrywano sytuacje dotyczące niedoszłej klientki SKOK Stefczyka oraz niedoszłego klienta Alior Banku.

  1. Stan faktyczny: Obie instytucje finansowe sprawdzały dane wnioskodawców w Biurze Informacji Kredytowej SA, lecz nie doszło do zawarcia umowy. Obie odmówiły usunięcia danych, powołując się na przepisy Prawa bankowego.
  2. Argumentacja instytucji: Alior Bank powoływał się na Art. 70, Art. 105 ust. 4 oraz Art. 105a ust. 1 Prawa bankowego.
  3. Rozstrzygnięcie NSA: Sąd zauważył, że przepisy Prawa bankowego dotyczące zobowiązań nie mają zastosowania, ponieważ brak jest przesłanek legalizujących dalsze przetwarzanie danych, gdy nie dochodzi do zawarcia umowy kredytowej. NSA (sygn. III OSK 1552/22 i III OSK 1877/22) ostatecznie podtrzymał stanowisko Prezesa UODO.

Konsekwencje dla BIK i banków: Obowiązek zaprzestania przetwarzania

Wyroki NSA stanowią wiążącą linię orzeczniczą, potwierdzającą, że bank oraz BIK są zobowiązane do zaprzestania przetwarzania danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy.

Odpada wówczas cel przetwarzania, jakim jest badanie zdolności kredytowej. Dotyczy to m.in. decyzji Prezesa UODO, których dotyczyły wyroki:

Reklama
  • III OSK 1552/22
  • III OSK 1877/22
  • III OSK 165/22
  • III OSK 984/22
  • III OSK 6563/21

W sprawie, której dotyczył wyrok III OSK 984/22 (29 maja 2025 r.), NSA uchylił wyrok WSA i oddalił skargę BIK, potwierdzając, że przetwarzanie danych w celu oceny zdolności i ryzyka kredytowego, związane z niezawartymi umowami, nie może odbywać się w celu budowy modeli scoringowych.

Podsumowanie

Najnowsze orzecznictwo Naczelnego Sądu Administracyjnego definitywnie kończy spór dotyczący praw klientów, którzy złożyli wniosek kredytowy, ale nie zawarli umowy. NSA wielokrotnie potwierdził, że instytucje finansowe tracą podstawę prawną do dalszego przetwarzania tych danych osobowych, obalając zarówno argumenty oparte na Art. 105a Prawa bankowego, jak i te dotyczące prawnie uzasadnionego interesu (Art. 6 ust. 1 lit. f RODO).

Banki i BIK są zobowiązane do usunięcia danych niedoszłych klientów.

Jeśli wnioskowałeś o kredyt, ale nie zawarłeś umowy, a Twoje dane wciąż są przetwarzane, skorzystaj z prawa do bycia zapomnianym. Pamiętaj, że bieżąca linia orzecznicza NSA stanowczo wspiera wnioskodawców w egzekwowaniu tego prawa. Skontaktuj się ze specjalistą prawnym, aby skutecznie zainicjować procedurę usunięcia danych osobowych z baz instytucji finansowych i BIK.

Reklama

Słowniczek kluczowych pojęć

  • BIK (Biuro Informacji Kredytowej): Instytucja, która gromadziła i przetwarzała dane wnioskodawców kredytowych. W sporze prawnym BIK argumentował za prawem do długotrwałego przechowywania danych niedoszłych klientów w celu budowy modeli scoringowych i statystycznych.
  • Modele scoringowe: Narzędzia analityczne używane przez instytucje finansowe do oceny ryzyka kredytowego. NSA uznał, że budowanie tych modeli z wykorzystaniem danych osób, które nie zawarły umowy kredytowej, jest niedopuszczalne i stanowi przetwarzanie danych w innym celu niż ten, dla którego je zebrano.
  • NSA (Naczelny Sąd Administracyjny): Sąd, który w serii przełomowych wyroków ostatecznie rozstrzygnął spór prawny. Podtrzymał on decyzje Prezesa UODO, potwierdzając, że banki oraz BIK muszą usunąć dane osób, z którymi nie zawarto umowy kredytowej.
  • Prawo bankowe: Ustawa, na której przepisy (w szczególności art. 70, 105 i 105a) powoływały się instytucje finansowe, by uzasadnić przetwarzanie danych. NSA orzekł, że przepisy te dotyczą zobowiązań istniejących, a nie sytuacji, gdy umowa nie została zawarta.
  • Prawnie uzasadniony interes: Podstawa prawna z art. 6 ust. 1 lit. f RODO, na którą powoływały się banki i BIK. NSA odrzucił ten argument, stwierdzając, że nie można go stosować do przetwarzania danych „na przyszłość” w celu zabezpieczenia się przed niepewnymi roszczeniami czy budowy modeli statystycznych.
  • RODO: Rozporządzenie o Ochronie Danych Osobowych. W kontekście artykułu, stanowi ono podstawę prawną dla argumentacji NSA, który uznał, że przetwarzanie danych niedoszłych klientów w celach innych niż pierwotnie określone jest niezgodne z jego zasadami.
  • Skarga kasacyjna: Środek odwoławczy wnoszony do NSA. W opisywanych sprawach skargi kasacyjne składane przez SKOK Stefczyka, Alior Bank, ING Bank Śląski oraz BIK zostały oddalone lub uchylone przez NSA.
  • SKOK (Spółdzielcza Kasa Oszczędnościowo-Kredytowa): Rodzaj instytucji finansowej. Wyrok w sprawie SKOK Stefczyka (III OSK 1552/22) potwierdził, że obowiązek usuwania danych dotyczy nie tylko banków, ale również SKOK-ów.
  • Sygnatura akt: Unikalny identyfikator sprawy sądowej. W artykule przytoczono liczne sygnatury (np. III OSK 1552/22, III OSK 165/22), które tworzą wiążącą linię orzeczniczą NSA w omawianej kwestii.
  • UODO (Urząd Ochrony Danych Osobowych): Organ państwowy, którego Prezes stał na stanowisku, że brak zawarcia umowy kredytowej usuwa podstawę prawną do dalszego przetwarzania danych. Decyzje Prezesa UODO w tej sprawie zostały podtrzymane przez NSA.
  • Zdolność kredytowa: Ocena finansowa potencjalnego kredytobiorcy. Zgodnie z wyrokami NSA, badanie zdolności kredytowej jest pierwotnym i jedynym celem przetwarzania danych na etapie wnioskowania o kredyt, który wygasa, gdy umowa nie zostaje zawarta.

Najczęściej zadawane pytania – Banki i BIK muszą usunąć przetwarzane dane wnioskodawcy

Jakie sygnatury wyroków NSA potwierdzają obowiązek usunięcia danych niedoszłych klientów?

Kluczowe sygnatury wyroków Naczelnego Sądu Administracyjnego, które podtrzymały decyzje Prezesa UODO nakazujące zaprzestanie przetwarzania danych, to między innymi: III OSK 1552/22, III OSK 1877/22, III OSK 165/22, III OSK 984/22 oraz III OSK 6563/21. Wszystkie te wyroki potwierdzają, że brak zawarcia umowy kredytowej usuwa podstawę prawną do dalszego przetwarzania danych.

Jak długo BIK chciał przechowywać dane niedoszłych klientów na potrzeby scoringu kredytowego?

Biuro Informacji Kredytowej (BIK) w swoich skargach kasacyjnych argumentowało, że pozyskanie danych na etapie złożenia wniosku uprawniało do ich dalszego przechowywania w celu budowy modeli scoringowych przez okres 5 lat od dnia złożenia zapytania, a w celach statystycznych i analiz nawet przez 10 do 12 lat. NSA odrzucił tę argumentację, uznając ją za niezgodną z przepisami Prawa bankowego i RODO.

Czy wyroki te dotyczą tylko banków komercyjnych, czy także SKOK-ów?

Wyroki te mają szerokie zastosowanie. Jedna ze spraw rozstrzyganych przez NSA (III OSK 1552/22) dotyczyła niedoszłej klientki SKOK Stefczyka, co potwierdza, że zasada braku podstawy prawnej do przetwarzania danych po niezawarciu umowy dotyczy zarówno banków (np. Alior Bank, ING Bank Śląski), jak i Spółdzielczych Kas Oszczędnościowo-Kredytowych (SKOK).

Czy Art. 6 ust. 1 lit. f RODO można wykorzystać do zabezpieczenia się przed roszczeniami byłego klienta, jeśli umowa wygasła?

Nie. Naczelny Sąd Administracyjny (sygn. III OSK 1594/22) stwierdził, że ewentualne i niepewne roszczenia, które hipotetycznie mogłyby pojawić się w przyszłości, nie są wystarczającą przesłanką uzasadniającą przetwarzanie danych byłego klienta. Jeżeli bank nie wskaże istnienia konkretnych roszczeń, to nie może powoływać się na uzasadniony interes do dalszego przechowywania danych.

Reklama

Jakie konkretne cele przetwarzania danych niedoszłego klienta zostały odrzucone przez NSA jako nielegalne?

NSA, podtrzymując decyzje UODO, uznał za nielegalne przetwarzanie danych niedoszłych klientów w następujących celach: budowa modeli scoringowych, analizy statystyczne i analizy ryzyka kredytowego oraz zabezpieczenie się przed ewentualnymi roszczeniami odszkodowawczymi. Wszystkie te cele, realizowane po odpadnięciu pierwotnego celu (ocena zdolności kredytowej), zostały uznane za niezgodne z RODO.

Zastrzeżenie:
Niniejszy artykuł ma charakter informacyjny i edukacyjny i nie stanowi porady prawnej. Autor nie jest licencjonowanym prawnikiem ani specjalistą ds. prawa. Informacje zawarte w artykule są oparte na ogólnej wiedzy i doświadczeniach autora i nie powinny być traktowane jako rekomendacje prawne.
Decyzje prawne podejmowane na podstawie informacji zawartych w artykule są podejmowane na własne ryzyko czytelnika. Autor nie ponosi odpowiedzialności za jakiekolwiek konsekwencje wynikające z zastosowania się do tych porad. Przed podjęciem jakichkolwiek decyzji prawnych zaleca się skonsultowanie się z licencjonowanym prawnikiem lub innym odpowiednio wykwalifikowanym specjalistą.
Prawo jest skomplikowane i często się zmienia, dlatego ważne jest, aby uzyskać aktualne i profesjonalne porady dostosowane do indywidualnej sytuacji prawnej. Wszelkie informacje zawarte w artykule mogą nie być odpowiednie dla wszystkich czytelników i nie zastępują profesjonalnej konsultacji prawnej.
Niniejszy artykuł zawiera odnośnik (-i) do stron instytucji finansowych i jeżeli użytkownik przejdzie na jedną z nich, złoży wniosek i podpisze umowę, autor bloga Bankowe ABC może uzyskać wynagrodzenie.
Warunki nie będą gorsze (a często lepsze) niż te, które użytkownik uzyskałby bezpośrednio. Dzięki temu wynagrodzeniu będzie możliwe pokrycie kosztów utrzymania działalności bloga.
Reklama
TEMATY:
Podziel się swoją opinią:
Michał Koński
Michał Koński

Jestem autorem bloga Bankowe ABC i specjalistą z dwudziestoletnim doświadczeniem w zakresie analizy ryzyka kredytowego, zdobytym w Ford Credit Europe, będącym częścią Ford Motor Company. Moja wiedza obejmuje szeroki wachlarz produktów finansowych sektora motoryzacyjnego, w tym Trade Cycle Management, wymogi prawne, operacyjne, ocenę ryzyka, raportowanie oraz marketing.

Posiadam wieloletnie doświadczenie w prowadzeniu prac analitycznych IT, zwłaszcza w analizie biznesowej i systemowej dotyczącej systemów do obsługi wniosków i przygotowywania dokumentacji kredytowej. Moje umiejętności obejmują tworzenie i dostosowywanie procedur bankowych oraz wewnętrznych instrukcji, a także narzędzi wspomagających proces oceny ryzyka kredytowego. Wdrażałem kluczowe regulacje prawne takie jak Rekomendacja T, Ustawa o Kredycie Konsumenckim, RODO oraz Ustawa o Przeciwdziałaniu Praniu Pieniędzy.

Artykuły: 540

Zapisz się na newslettera

Wprowadź swój adres e-mail poniżej, aby otrzymywać newslettera.

Wyrażam zgodę na przetwarzanie danych osobowych (adres e-mail) w celu otrzymywania wiadomości w ramach newslettera Bankowe ABC.
Zapisując się wyrażasz zgodę na otrzymywanie wiadomości drogą mailową. W celu uzyskania szczegółów zapoznaj się z polityką prywatności. Otrzymasz maksymalnie 2 wiadomości w miesiącu, bez reklam i spamu. Możesz wypisać się w każdej chwili.

Ostatnio opublikowane na ten temat:

Popularne artykuły

Decyzja Rady Polityki Pieniężnej o stopach procentowych - kwiecień 2025
Decyzja Rady Polityki Pieniężnej – RPP tnie stopy piąty raz w 2025! Co to oznacza dla Twojej raty kredytu i oszczędności?
Terapia dla dłużników: Kiedy warto zgłosić się do psychologa z problemami finansowymi?
Terapia dla dłużników: Kiedy warto zgłosić się do psychologa z problemami finansowymi?
VeloBank zmiany 2026: Czy nowa prowizja 2% za przewalutowanie uderzy w Twój portfel? Ważne modyfikacje w opłatach, regulaminach i usłudze BLIK od 15 stycznia
VeloBank zmiany 2026: Czy nowa prowizja 2% za przewalutowanie uderzy w Twój portfel? Ważne modyfikacje w opłatach, regulaminach i usłudze BLIK od 15 stycznia
Biała Lista Podatników VAT: Jak uniknąć sankcji? Kompletny poradnik
Biała Lista Podatników VAT: Jak uniknąć sankcji? Kompletny poradnik