Sądy administracyjne kwestionują przetwarzanie danych osobowych przez banki i Biuro Informacji Kredytowej.
Jeśli nie doszło do zawarcia umowy kredytowej, historia (niesfinalizowanych) zapytań kredytowych, zawierających informacje o ilości i częstotliwości występowania o kredyt, powinna zostać usunięta z Biura Informacji Kredytowej i bankowych baz danych – orzekł Naczelny Sąd Administracyjny w przełomowym wyroku z dnia 27 sierpnia 2019 roku (I OSK 2567/17)[1].
Wniosek kredytowy i żądanie usunięcia danych
Wyrok zapadł na kanwie sytuacji bardzo typowej. Wnioskodawca w styczniu 2014 roku za pośrednictwem strony internetowej złożył wniosek kredytowy w jednym z banków, wyrażając jednocześnie zgodę na weryfikację wiarygodności jego zdolności kredytowej. Ze względu na fakt, że do zawarcia umowy kredytowej ostatecznie nie doszło, zwrócił się o usunięcie zapytań kredytowych dokonanych przez bank w Biurze Informacji Kredytowej.
W odpowiedzi Bank stwierdził, że nie ma podstaw prawnych do usunięcia wskazanych zapytań, gdyż zostały dokonane zasadnie i poprawnie, zresztą zgodnie z wolą samego wnioskodawcy.
Podobne stanowisko zajęło Biuro Informacji Kredytowej, które wskazało, że przetwarzanie danych pochodzących z zapytań – na podstawie art. 105 ust. 4 ustawy prawo bankowe – było realizowane w ramach wykonania czynności bankowych, a informacja o liczbie i częstotliwości składanych wniosków przez klienta jest istotną informacją w procesie oceny zdolności i analizy ryzyka kredytowego dokonywanej przed udzieleniem kredytu danej osobie.
Decyzja organu nadzorczego
W takich okolicznościach Generalny Inspektor Ochrony Danych Osobowych (obecnie Prezes Urzędu Ochrony Danych Osobowych), wydał decyzję, w której nakazał bankowi usunięcie danych osobowych wnioskodawcy w zakresie zapytań kredytowych kierowanych do Biura Informacji Kredytowej.
W odpowiedzi bank złożył wniosek o ponowne rozpatrzenie sprawy, Generalny Inspektor Ochrony Danych utrzymał zaś swoją decyzję w mocy. Organ nadzorczy w uzasadnieniu decyzji wskazał, o ile samo pozyskanie danych osobowych przez bank, a następnie udostępnienie ich do Biura Informacji Kredytowej spełnia warunki legalnego przetwarzania danych osobowych, tak już przetwarzanie tych danych osobowych w Biurze Informacji Kredytowej po dokonaniu jego weryfikacji zdolności kredytowej nie ma podstaw prawnych, w tym narusza zasadę wynikającą z art. 26 ust 1 pkt 4 ustawy o ochronie danych osobowych (tj. zasadę ograniczenia przechowywania danych przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane)[2].
Rozstrzygniecie WSA
W związku z powyższym sprawa trafiła do Wojewódzkiego Sądu Administracyjnego w Warszawie, który podzielił stanowisko organu nadzorczego ochrony danych osobowych[3]. Sąd wskazał, że w sytuacji, gdy w wyniku podjętych czynności sprawdzających nie doszło w efekcie do zawarcia umowy kredytowej, odpadła przesłanka legalizująca dalsze przetwarzanie przez bank i Biuro Informacji Kredytowej danych osobowych wnioskodawcy. Pomiędzy wnioskodawcą, a Bankiem nie zawiązał się bowiem, w następstwie złożenia wniosku kredytowego, żaden stosunek zobowiązaniowy, który w świetle przepisów art. 105a ust. 1-6 prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych przez bank. Dodatkowo Wojewódzki Sąd Administracyjny podkreślił, że przetwarzanie danych osobowych wnioskodawcy nie jest też niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez bank, a w szczególności celu, jakim jest prawo do podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi, co bank podnosił we wniosku o ponowne rozpatrzenie sprawy. W wyroku wskazano, że przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako „na zapas” z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych.
Finał sprawy w NSA
Jak podaje Rzeczpospolita, Naczelny Sąd Administracyjny potwierdził rozważania Wojewódzkiego Sądu Administracyjnego, orzekając, że brak jest przepisów, które umożliwiają bankowi przetwarzanie danych dotyczących zapytań kredytowych wnioskodawcy na przyszłość bez nawiązania z nimi stosunku prawnego (zawarcia umowy kredytowej). Tym samym przesądzono, że historia zapytań kredytowych dotycząca niedoszłego klienta powinna zniknąć z bankowych baz oraz z Biura Informacji Kredytowej.
[1] Powyższa informacja pochodzi z https://www.rp.pl/Dane-osobowe/308279925-Wyrok-NSA-nie-dostal-kredytu–bank-musi-usunac-jego-dane.html; w dniu 30 sierpnia 2019 roku wskazane orzeczenie Naczelnego Sądu Administracyjnego nie zostało jeszcze zamieszczone w bazie Centralnej Bazy Orzeczeń Sądów Administracyjnych (http://orzeczenia.nsa.gov.pl/cbo/query).
[2] Odpowiednikiem art. 26 ust. 1 pkt 4 już nieobowiązującej ustawy o ochronie danych osobowych z 29 sierpnia 1997 roku jest aktualnie art. 5 ust. 1 lit. e RODO.
[3] II SA/Wa 2221/16 – Wyrok WSA w Warszawie.
