II SA/WA 327/25
Podsumowanie
Przejdź do pełnego tekstuWojewódzki Sąd Administracyjny w Warszawie rozpatrzył skargę Biura Informacji Kredytowej (BIK) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO). Prezes UODO nałożył na BIK upomnienie za przetwarzanie danych osobowych wnioskodawcy w zakresie zapytania kredytowego z dnia [...] lipca 2022 r., które nie zakończyło się zawarciem umowy kredytowej, bez podstawy prawnej. BIK kwestionował tę decyzję, argumentując, że przetwarzanie danych było uzasadnione prawnie, m.in. w celu ochrony przed potencjalnymi roszczeniami (art. 6 ust. 1 lit. f RODO) oraz na podstawie rekomendacji KNF. Sąd administracyjny oddalił skargę BIK, podzielając stanowisko Prezesa UODO. Sąd podkreślił, że podstawową przesłanką legalizującą przetwarzanie danych w zapytaniu kredytowym jest ocena zdolności kredytowej i analiza ryzyka kredytowego, która jest czynnością wstępną do zawarcia umowy. W przypadku braku zawarcia umowy, dalsze przetwarzanie danych, zwłaszcza po zgłoszeniu żądania ich usunięcia, jest nielegalne. Sąd odrzucił argumentację BIK dotyczącą uzasadnionego interesu prawnego oraz odwołań do rekomendacji KNF, wskazując, że nie stanowią one podstawy prawnej do przetwarzania danych osobowych w sposób naruszający RODO. Sąd potwierdził, że decyzja Prezesa UODO była zgodna z prawem.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaUzasadnienie dopuszczalności lub niedopuszczalności przetwarzania danych osobowych w zapytaniach kredytowych, które nie zakończyły się zawarciem umowy, w kontekście RODO i Prawa bankowego.
Dotyczy sytuacji braku zawarcia umowy kredytowej i zgłoszenia żądania usunięcia danych. Interpretacja przepisów Prawa bankowego w kontekście RODO.
Zagadnienia prawne (3)
Czy przetwarzanie danych osobowych w zapytaniu kredytowym, które nie zakończyło się zawarciem umowy, jest legalne po zgłoszeniu przez osobę, której dane dotyczą, żądania ich usunięcia?Ratio decidendi
Odpowiedź sądu
Nie, dalsze przetwarzanie danych osobowych w zapytaniu kredytowym, które nie zakończyło się zawarciem umowy, jest nielegalne po zgłoszeniu żądania ich usunięcia, zwłaszcza gdy nie istnieje inna podstawa prawna przetwarzania.
Uzasadnienie
Sąd uznał, że podstawową przesłanką legalizującą przetwarzanie danych w zapytaniu kredytowym jest ocena zdolności kredytowej i analiza ryzyka kredytowego, która jest czynnością wstępną do zawarcia umowy. Po braku zawarcia umowy i zgłoszeniu żądania usunięcia danych, dalsze przetwarzanie jest nielegalne, ponieważ cel przetwarzania ustał, a inne potencjalne podstawy prawne (np. uzasadniony interes, rekomendacje KNF) nie uzasadniają takiego działania w kontekście RODO.
Czy rekomendacje Komisji Nadzoru Finansowego mogą stanowić podstawę prawną do przetwarzania danych osobowych w sposób naruszający przepisy RODO?Ratio decidendi
Odpowiedź sądu
Nie, rekomendacje KNF nie są źródłem prawa powszechnie obowiązującego ani wewnętrznego i nie mogą stanowić podstawy prawnej do przetwarzania danych osobowych, jeśli naruszają przepisy RODO.
Uzasadnienie
Sąd podkreślił, że rekomendacje KNF nie mieszczą się w katalogu źródeł prawa określonym w Konstytucji i nie mogą legalizować przetwarzania danych osobowych niezgodnie z RODO.
Czy przetwarzanie danych osobowych w celu ochrony przed potencjalnymi przyszłymi roszczeniami stanowi prawnie uzasadniony interes administratora danych na gruncie art. 6 ust. 1 lit. f RODO?Ratio decidendi
Odpowiedź sądu
Nie, przetwarzanie danych osobowych wyłącznie na wypadek ewentualnego dochodzenia lub obrony roszczeń, bez istnienia konkretnego roszczenia i zamiaru jego dochodzenia, nie stanowi prawnie uzasadnionego interesu administratora.
Uzasadnienie
Sąd stwierdził, że przyjęcie takiego stanowiska prowadziłoby do nieograniczonego przetwarzania danych, a okolicznością usprawiedliwiającą przetwarzanie jest istnienie roszczenia i zamiar jego dochodzenia, a nie potencjalna możliwość jego wystąpienia w przyszłości.
Przepisy (19)
Główne
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 58 § 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
p.b. art. 70 § 1
Prawo bankowe
p.b. art. 105a § 1, 1a i 1b
Prawo bankowe
p.b. art. 105 § 4
Prawo bankowe
p.p.s.a. art. 151
Ustawa Prawo o ustroju sądów administracyjnych
p.b. art. 105a § 2, 2a, 3, 4, 5, 6
Prawo bankowe
Pomocnicze
k.p.a. art. 104 § 1
Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § 1 i 2
Ustawa o ochronie danych osobowych
p.b. art. 105a § 4-6
Prawo bankowe
AML art. 49
Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
p.b. art. 106d
Prawo bankowe
k.c. art. 118
Kodeks cywilny
k.c. art. 442
Kodeks cywilny
p.b. art. 70a § 1 i 2
Prawo bankowe
CRR
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013
RODO art. 15
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Konstytucja art. 87 § 1
Konstytucja Rzeczypospolitej Polskiej
Konstytucja art. 93 § 1
Konstytucja Rzeczypospolitej Polskiej
Argumenty
Skuteczne argumenty
Przetwarzanie danych osobowych w zapytaniu kredytowym, które nie zakończyło się zawarciem umowy, jest nielegalne po zgłoszeniu żądania usunięcia danych. • Rekomendacje KNF nie stanowią podstawy prawnej do przetwarzania danych osobowych naruszającego RODO. • Przetwarzanie danych w celu ochrony przed potencjalnymi przyszłymi roszczeniami nie jest prawnie uzasadnionym interesem administratora.
Odrzucone argumenty
Przetwarzanie danych osobowych w zapytaniu kredytowym było uzasadnione prawnie (art. 6 ust. 1 lit. f RODO) w celu ochrony przed potencjalnymi roszczeniami. • Rekomendacje KNF stanowią podstawę do przetwarzania danych osobowych. • Sąd naruszył przepisy prawa procesowego, nie badając wszystkich okoliczności sprawy.
Godne uwagi sformułowania
odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych • przetwarzanie danych osobowych 'na przyszłość' w zupełnie innych celach niż je zebrano, w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań • rekomendacje KNF nie są źródłem ani powszechnie obowiązujących przepisów prawa, ani przepisów prawa o charakterze wewnętrznym • okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia
Skład orzekający
Andrzej Kołodziej
przewodniczący
Anna Pośpiech-Kłak
sprawozdawca
Joanna Kruszewska-Grońska
członek
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Uzasadnienie dopuszczalności lub niedopuszczalności przetwarzania danych osobowych w zapytaniach kredytowych, które nie zakończyły się zawarciem umowy, w kontekście RODO i Prawa bankowego."
Ograniczenia: Dotyczy sytuacji braku zawarcia umowy kredytowej i zgłoszenia żądania usunięcia danych. Interpretacja przepisów Prawa bankowego w kontekście RODO.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego zagadnienia przetwarzania danych osobowych w procesie kredytowym i stanowi ważny precedens dla interpretacji przepisów RODO w kontekście sektora bankowego.
“Czy Twoje dane z zapytania kredytowego mogą być przetwarzane bez Twojej zgody po odmowie? Sąd wyjaśnia.”
Sektor
bankowość
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.