Lexedit
Szukaj orzeczeń
Zapytaj AI o tę sprawę
Orzeczenie · 2025-02-13

III OSK 6563/21

Sąd
Naczelny Sąd Administracyjny
Data
2025-02-13
NSAAdministracyjneWysokansa
ochrona danych osobowychRODOprzetwarzanie danychzapytanie kredytowezdolność kredytowaryzyko kredytoweprawo bankowebiuro informacji gospodarczejNSAskarga kasacyjna

Podsumowanie

Przejdź do pełnego tekstu

Sprawa rozpatrywana przez Naczelny Sąd Administracyjny dotyczyła legalności przetwarzania danych osobowych przez bank oraz biuro informacji gospodarczej (dalej: "[...]") w związku z zapytaniami kredytowymi, które nie doprowadziły do zawarcia umowy z klientem. Osoba fizyczna, A. G., wniosła skargę do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO") na udostępnienie jej danych przez bank do [...] w zakresie zapytania kredytowego z listopada 2017 r., twierdząc, że nie składała wniosku ani nie wyrażała zgody na takie działania. Prezes UODO nakazał bankowi zaprzestanie przetwarzania tych danych, uznając, że po dokonaniu oceny zdolności kredytowej, gdy umowa nie została zawarta, dalsze przetwarzanie jest nielegalne i narusza zasadę ograniczonego przechowywania danych wynikającą z RODO. Wojewódzki Sąd Administracyjny w Warszawie (dalej: "WSA") oddalił skargi banku i [...] na decyzję Prezesa UODO. Bank i [...] wniosły skargi kasacyjne, zarzucając m.in. naruszenie przepisów prawa materialnego i procesowego, w tym błędną wykładnię przepisów RODO i Prawa bankowego. Argumentowali, że przetwarzanie danych jest niezbędne do oceny ryzyka kredytowego, wypełniania obowiązków prawnych oraz zgodne z rekomendacjami KNF. Naczelny Sąd Administracyjny oddalił skargi kasacyjne. Sąd podkreślił, że przetwarzanie danych osobowych jest legalne tylko w określonych warunkach, a w przypadku braku zawarcia umowy kredytowej, cel przetwarzania danych (ocena zdolności kredytowej) zostaje osiągnięty, co wyklucza dalsze przetwarzanie na podstawie art. 6 ust. 1 lit. f RODO. NSA zaznaczył, że Prawo bankowe, w szczególności art. 105a, określa ramy przetwarzania danych objętych tajemnicą bankową, a przepisy te muszą być interpretowane ściśle i zgodnie z RODO. Sąd uznał, że rekomendacje KNF nie są źródłem prawa powszechnie obowiązującego i nie mogą stanowić podstawy do przetwarzania danych wbrew przepisom RODO. NSA potwierdził, że przetwarzanie danych po ocenie zdolności kredytowej, gdy umowa nie została zawarta, narusza zasadę ograniczonego przechowywania danych (art. 5 ust. 1 lit. e RODO) i nie znajduje podstawy prawnej w przepisach Prawa bankowego ani RODO. Sąd oddalił skargi kasacyjne, zasądzając koszty postępowania.

Asystent · analiza prawna

Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.

Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.

Wypróbuj Asystenta

Wartość praktyczna

Siła precedensu: Wysoka
Do czego można powołać

Potwierdzenie zasady ograniczonego przechowywania danych osobowych w kontekście zapytań kredytowych, które nie zakończyły się zawarciem umowy, oraz interpretacja przepisów RODO i Prawa bankowego w tym zakresie.

Ograniczenia stosowania

Orzeczenie dotyczy specyficznej sytuacji braku zawarcia umowy kredytowej po złożeniu zapytania. Interpretacja przepisów Prawa bankowego w kontekście RODO.

Zagadnienia prawne (3)

Czy przetwarzanie danych osobowych przez bank i biuro informacji gospodarczej w zakresie zapytań kredytowych, które nie zakończyły się zawarciem umowy, jest legalne po dokonaniu oceny zdolności kredytowej?Ratio decidendi

Odpowiedź sądu

Nie, przetwarzanie danych osobowych w zakresie zapytań kredytowych, które nie zakończyły się zawarciem umowy, po dokonaniu oceny zdolności kredytowej, narusza przepisy RODO (zasada ograniczonego przechowywania) i Prawa bankowego.

Uzasadnienie

Cel przetwarzania danych w celu oceny zdolności kredytowej zostaje osiągnięty z chwilą dokonania tej oceny. Dalsze przetwarzanie danych po tym etapie, gdy umowa nie została zawarta, nie ma podstawy prawnej i narusza zasadę ograniczonego przechowywania danych.

Czy rekomendacje Komisji Nadzoru Finansowego mogą stanowić podstawę prawną do przetwarzania danych osobowych w sposób sprzeczny z RODO i Prawem bankowym?Ratio decidendi

Odpowiedź sądu

Nie, rekomendacje KNF nie są źródłem prawa powszechnie obowiązującego i nie mogą stanowić podstawy do przetwarzania danych osobowych w sposób sprzeczny z przepisami RODO i Prawa bankowego.

Uzasadnienie

Źródłami prawa powszechnie obowiązującego są Konstytucja, ustawy, ratyfikowane umowy międzynarodowe i rozporządzenia. Rekomendacje KNF nie należą do tej kategorii i nie mogą uchylać ochrony danych osobowych wynikającej z RODO i Konstytucji RP.

Czy bank i biuro informacji gospodarczej mogą przetwarzać dane osobowe wnioskodawcy na przyszłość lub w innych celach niż pierwotnie zebrane, jeśli nie zawarto umowy kredytowej?Ratio decidendi

Odpowiedź sądu

Nie, przetwarzanie danych osobowych na przyszłość lub w innych celach niż pierwotnie zebrane jest dopuszczalne tylko wtedy, gdy jest zgodne z celami pierwotnego zbierania danych i istnieją odpowiednie podstawy prawne oraz zabezpieczenia.

Uzasadnienie

W przypadku braku zawarcia umowy kredytowej, dalsze przetwarzanie danych osobowych wnioskodawcy przez bank i biuro informacji gospodarczej nie znajduje podstawy prawnej w RODO ani w Prawie bankowym, a argumenty o 'prawnie uzasadnionym interesie' nie mogą być stosowane w sposób rozszerzający, naruszając prawo do ochrony danych.

Rozstrzygnięcie
Decyzja
Oddalono skargę
Oddalono skargi kasacyjne banku i biura informacji gospodarczej.

Przepisy (12)

Główne

RODO art. 5 § ust. 1 lit. e

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

Pomocnicze

Prawo bankowe art. 105 § ust. 4

Prawo bankowe

Prawo bankowe art. 105a § ust. 1

Prawo bankowe

P.p.s.a. art. 151

Prawo o postępowaniu przed sądami administracyjnymi

RODO art. 6 § ust. 1 lit. c

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

RODO art. 6 § ust. 1 lit. f

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

ustawa o ochronie danych osobowych

Ustawa o ochronie danych osobowych

k.p.a.

Kodeks postępowania administracyjnego

Prawo bankowe art. 70a

Prawo bankowe

Prawo bankowe art. 106d

Prawo bankowe

ustawa AML

Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu

CRR

Rozporządzenie Parlamentu Europejskiego i Rady nr 575/2013

Argumenty

Skuteczne argumenty

Przetwarzanie danych osobowych po ocenie zdolności kredytowej, gdy umowa nie została zawarta, narusza zasadę ograniczonego przechowywania danych (art. 5 ust. 1 lit. e RODO). • Brak podstawy prawnej do dalszego przetwarzania danych osobowych w przypadku niezawarcia umowy kredytowej. • Rekomendacje KNF nie są źródłem prawa powszechnie obowiązującego i nie mogą uchylać ochrony danych osobowych. • Cel przetwarzania danych osobowych musi być zgodny z celami pierwotnego zbierania danych.

Odrzucone argumenty

Przetwarzanie danych jest niezbędne do oceny ryzyka kredytowego i wypełniania obowiązków prawnych. • Przetwarzanie danych jest zgodne z art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes). • Przepisy Prawa bankowego (art. 105 ust. 4, art. 105a, art. 70a) stanowią podstawę do przetwarzania danych. • Konieczność stosowania się do rekomendacji KNF.

Godne uwagi sformułowania

przetwarzanie danych osobowych w systemie [...] po dokonaniu jego weryfikacji zdolności kredytowej nie ma podstaw prawnych • narusza zasadę wynikającą z art. 5 lit. e) RODO, tj. zasadę ograniczonego przechowywania • nie można traktować [...] jako niezależnego od banków podmiotu realizującego własne cele, ale jako podmiot służebny • rekomendacje KNF nie są aktami prawa powszechnie obowiązującego • nie budzi wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez Bank.

Skład orzekający

Małgorzata Pocztarek

przewodniczący

Olga Żurawska - Matusiak

członek

Paweł Mierzejewski

sprawozdawca

Informacje dodatkowe

Wartość precedensowa

Siła: Wysoka

Powoływalne dla: "Potwierdzenie zasady ograniczonego przechowywania danych osobowych w kontekście zapytań kredytowych, które nie zakończyły się zawarciem umowy, oraz interpretacja przepisów RODO i Prawa bankowego w tym zakresie."

Ograniczenia: Orzeczenie dotyczy specyficznej sytuacji braku zawarcia umowy kredytowej po złożeniu zapytania. Interpretacja przepisów Prawa bankowego w kontekście RODO.

Wartość merytoryczna

Ocena: 7/10

Sprawa dotyczy powszechnego zagadnienia przetwarzania danych osobowych w sektorze bankowym, co jest istotne dla wielu konsumentów i przedsiębiorców. Wyjaśnia zasady ochrony danych w kontekście wniosków kredytowych.

Czy bank może przechowywać Twoje dane po odmowie kredytu? NSA wyjaśnia.

Asystent AI dla prawników

Twój asystent do analizy prawnej.

Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.

  • Analiza orzecznictwa i przepisów
  • Drafting pism i dokumentów
  • Odpowiedzi na pytania prawne
  • Pogłębiona analiza z doktryny
Wypróbuj Asystenta AI za darmo
Powiązane tematy
ochrona danych osobowychRODOprzetwarzanie danychzapytanie kredytowezdolność kredytowaryzyko kredytoweprawo bankowebiuro informacji gospodarczejNSAskarga kasacyjna

Pełny tekst orzeczenia

Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.

Przeczytaj pełny tekst