II SA/Wa 1958/24
Podsumowanie
Przejdź do pełnego tekstuWojewódzki Sąd Administracyjny w Warszawie rozpoznał skargi Banku [...] S.A. oraz Biura Informacji Kredytowej S.A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), która nakazała obu podmiotom usunięcie danych osobowych P. J. związanych z zapytaniem kredytowym z dnia 28 lutego 2023 r., które nie zakończyło się zawarciem umowy kredytowej. Organ ochrony danych uznał, że cel przetwarzania danych – ocena zdolności kredytowej i analiza ryzyka – został zrealizowany i brak jest podstaw prawnych do dalszego ich przetwarzania. Bank i BIK podnosiły, że przetwarzanie danych jest niezbędne do celów analizy ryzyka, budowy modeli scoringowych, wypełnienia obowiązków prawnych (np. art. 70a Prawa bankowego) oraz obrony przed ewentualnymi roszczeniami, powołując się także na przepisy rozporządzenia CRR. Sąd administracyjny oddalił skargi, podzielając stanowisko organu. Stwierdził, że w sytuacji braku zawarcia umowy kredytowej, cel pierwotnego przetwarzania danych ustał. Dalsze przetwarzanie danych, w tym w celach budowy modeli scoringowych czy obrony przed hipotetycznymi roszczeniami, nie znalazło podstawy prawnej w RODO ani w Prawie bankowym, zwłaszcza gdy osoba, której dane dotyczą, żądała ich usunięcia. Sąd podkreślił, że przepisy Prawa bankowego dotyczące przetwarzania danych po wygaśnięciu zobowiązania lub w celu stosowania metod wewnętrznych nie mają zastosowania, gdy umowa nie została zawarta. Podobnie, przepisy dotyczące przeciwdziałania praniu pieniędzy nie usprawiedliwiały dalszego przetwarzania danych w tej konkretnej sytuacji. Sąd uznał, że interes prawny osoby fizycznej w ochronie jej danych osobowych ma pierwszeństwo przed interesami banku i BIK w sytuacji braku nawiązania stosunku zobowiązaniowego.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaUzasadnienie dopuszczalności lub niedopuszczalności dalszego przetwarzania danych osobowych po niezrealizowanym zapytaniu kredytowym, interpretacja przepisów RODO i Prawa bankowego w kontekście działalności BIK i banków.
Dotyczy sytuacji braku zawarcia umowy kredytowej po złożeniu zapytania. Może być mniej relewantne w przypadkach, gdy umowa została zawarta, a następnie wygasła.
Zagadnienia prawne (3)
Czy bank i Biuro Informacji Kredytowej (BIK) mogą nadal przetwarzać dane osobowe osoby fizycznej, która złożyła zapytanie kredytowe, jeśli umowa kredytowa nie została zawarta, a cel pierwotnego przetwarzania (ocena zdolności kredytowej) został zrealizowany?Ratio decidendi
Odpowiedź sądu
Nie, dalsze przetwarzanie danych osobowych w takiej sytuacji jest niedopuszczalne, ponieważ cel przetwarzania ustał, a brak jest innych podstaw prawnych wynikających z RODO i Prawa bankowego.
Uzasadnienie
Sąd uznał, że po niezawarciu umowy kredytowej cel przetwarzania danych osobowych z zapytania kredytowego ustał. Dalsze przetwarzanie danych przez bank i BIK, w tym w celach budowy modeli scoringowych czy obrony przed hipotetycznymi roszczeniami, nie ma podstawy prawnej w RODO ani w Prawie bankowym, zwłaszcza gdy osoba, której dane dotyczą, żąda ich usunięcia. Interes prawny osoby fizycznej w ochronie danych ma pierwszeństwo.
Czy przepisy Prawa bankowego (w szczególności art. 105a) oraz rozporządzenia CRR stanowią podstawę do dalszego przetwarzania danych osobowych z niezrealizowanego zapytania kredytowego w celu budowy modeli scoringowych lub analizy ryzyka?Ratio decidendi
Odpowiedź sądu
Nie, przepisy te nie dają podstawy do dalszego przetwarzania danych osobowych w sytuacji, gdy umowa kredytowa nie została zawarta, a pierwotny cel przetwarzania został zrealizowany.
Uzasadnienie
Sąd stwierdził, że art. 105a Prawa bankowego dotyczy przetwarzania danych przed, w trakcie lub po wygaśnięciu zobowiązania, a nie w sytuacji braku zawarcia umowy. Przepisy CRR dotyczące metod wewnętrznych nie usprawiedliwiają dalszego przetwarzania danych z niezrealizowanego zapytania, a ich stosowanie musi być zgodne z RODO.
Czy bank lub BIK mogą przetwarzać dane z niezrealizowanego zapytania kredytowego w celu obrony przed ewentualnymi roszczeniami lub w celach dowodowych?Ratio decidendi
Odpowiedź sądu
Nie, przetwarzanie danych na wypadek hipotetycznych roszczeń nie stanowi prawnie uzasadnionego interesu administratora na gruncie art. 6 ust. 1 lit. f RODO, zwłaszcza gdy osoba, której dane dotyczą, żąda ich usunięcia.
Uzasadnienie
Sąd uznał, że przetwarzanie danych 'na zapas' w celu obrony przed przyszłymi, nieokreślonymi roszczeniami nie jest zgodne z RODO. Brak jest dowodów na istnienie jakichkolwiek roszczeń ze strony P. J. wobec banku czy BIK.
Przepisy (14)
Główne
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679
Przetwarzanie danych jest legalne tylko w określonych przypadkach, m.in. gdy jest niezbędne do wykonania umowy, wypełnienia obowiązku prawnego, lub wynika z prawnie uzasadnionych interesów administratora, pod warunkiem, że nadrzędne nie są interesy osoby, której dane dotyczą.
RODO art. 5
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679
Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i przejrzyście, zbierane w konkretnych celach i ograniczone do tego, co niezbędne (zasada ograniczenia celu i minimalizacji danych).
RODO art. 58 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679
Organ nadzorczy może nakazać usunięcie danych osobowych.
Prawo bankowe art. 105a § 1
Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe
Przetwarzanie informacji stanowiących tajemnicę bankową w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest dopuszczalne.
Prawo bankowe art. 70 § 1
Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe
Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy.
Pomocnicze
u.o.d.o. art. 7 § 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Prawo bankowe art. 105a § 4
Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe
Banki mogą przetwarzać informacje stanowiące tajemnicę bankową po wygaśnięciu zobowiązania do celów stosowania metod wewnętrznych i modeli z rozporządzenia CRR.
Prawo bankowe art. 70a § 1
Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe
Bank na wniosek osoby ubiegającej się o kredyt przekazuje wyjaśnienie dotyczące oceny zdolności kredytowej.
k.c. art. 118
Kodeks cywilny
Przepisy dotyczące przedawnienia roszczeń.
rozporządzenie CRR
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013
Przepisy dotyczące wymogów ostrożnościowych dla instytucji kredytowych, w tym metody IRB.
ustawa AML
Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
k.p.a.
Ustawa z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego
p.p.s.a. art. 111 § 1
Ustawa z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi
Łączenie spraw do wspólnego rozpoznania.
p.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi
Orzekanie przez sąd administracyjny.
Argumenty
Skuteczne argumenty
Cel przetwarzania danych osobowych z zapytania kredytowego ustał w związku z brakiem zawarcia umowy. • Dalsze przetwarzanie danych osobowych bez podstawy prawnej narusza RODO i Prawo bankowe. • Interes prawny osoby fizycznej w ochronie danych osobowych ma pierwszeństwo nad interesami banku i BIK w sytuacji braku stosunku zobowiązaniowego.
Odrzucone argumenty
Przetwarzanie danych jest niezbędne do analizy ryzyka, budowy modeli scoringowych i obrony przed ewentualnymi roszczeniami. • Przepisy Prawa bankowego i rozporządzenia CRR stanowią podstawę do dalszego przetwarzania danych. • Obowiązek wypełnienia obowiązków prawnych (np. art. 70a Prawa bankowego) uzasadnia dalsze przetwarzanie danych.
Godne uwagi sformułowania
Cel przetwarzania danych osobowych (...) został zrealizowany i brak jest podstaw do kontynuowania tego procesu. • Pomiędzy bankiem a wnioskodawcą nie nawiązał się żaden stosunek zobowiązaniowy związany z tym zapytaniem kredytowym, który (...) dawałby podstawę do dalszego przetwarzania jego danych osobowych. • Niedopuszczalne jest dalsze przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań. • W demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu (...) w zakresie przetwarzania danych osobowych.
Skład orzekający
Andrzej Góraj
przewodniczący
Łukasz Krzycki
członek
Mateusz Rogala
sprawozdawca
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Uzasadnienie dopuszczalności lub niedopuszczalności dalszego przetwarzania danych osobowych po niezrealizowanym zapytaniu kredytowym, interpretacja przepisów RODO i Prawa bankowego w kontekście działalności BIK i banków."
Ograniczenia: Dotyczy sytuacji braku zawarcia umowy kredytowej po złożeniu zapytania. Może być mniej relewantne w przypadkach, gdy umowa została zawarta, a następnie wygasła.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego zagadnienia przetwarzania danych osobowych przez banki i BIK po złożeniu wniosku kredytowego, co jest istotne dla wielu konsumentów. Wyrok precyzuje granice legalnego przetwarzania danych.
“Czy Twoje dane z zapytania kredytowego mogą być przetwarzane bez końca? Sąd administracyjny wyjaśnia.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.