Przetwarzanie danych osobowych „na zapas” jest niedozwolone (tudzież przetwarzanie danych z wniosku kredytowego w celu tworzenia modeli scoringowych)

Prawo zezwala na przetwarzanie informacji w celu tworzenia modeli scoringowych po wygaśnięciu umowy — czy zatem kredytodawca i BIK mogą przetwarzać dane pochodzące z wniosku kredytowego, nawet jeśli do zaciągnięcia kredytu nie doszło? Czy dopuszczalne jest przetwarzanie danych osobowych w celu odparcia ewentualnych roszczeń, czy jednak oznacza to przetwarzanie „na zapas”?

nieprawomocny wyrok WSA w Warszawie z 23 lutego 2022 r. (II SA/Wa 1128/21)
Przepisy RODO i ustawy o ochronie danych osobowych nie zezwalają na przetwarzanie danych osobowych niejako „na zapas” z założeniem, że mogą one być ewentualnie przydatne w bliżej nieokreślonej przyszłości.

Sprawa zaczęła się od złożonego wniosku kredytowego, na potrzeby wniosku klientka podała szereg swych danych osobowych (m.in. imię i nazwisko, numer PESEL, informacje o dochodach i zatrudnieniu, etc.). Na tej podstawie Spółdzielcza Kasa Oszczędnościowo-Kredytowa wysłała standardowe zapytanie do BIK, jednak do zawarcia umowy nie doszło, kobieta zażądała usunięcia przetwarzanych przez instytucję finansową danych — zaś po odmowie złożyła skargę do PUODO.

Urząd stwierdził, że jakkolwiek BIK jest uprawniony do przetwarzania danych na potrzeby scoringu kredytobiorcy, to biorąc pod uwagę, iż do zawarcia umowy nie doszło, nie istnieje już potrzeba przetwarzania jej danych dla oceny zdolności kredytowej i analizy ryzyka. A skoro umowy nie było, to nie mogła ona wygasnąć, zatem nie ma podstaw do przetwarzania danych na potrzeby statystyczne i analityczne. Bezpodstawne jest także przetwarzanie danych na potrzeby odparcia potencjalnych roszczeń, bo przecież kobieta z żadnymi roszczeniami nie wystąpiła.

art. 105a ust. 1 i 4 ustawy prawo bankowe
1. Przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz [Buro Informacji Kredytowych] informacji stanowiących tajemnicę bankową (…) może być wykonywane (…) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
4. Banki oraz [BIK] mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą [w celach statystycznych i analitycznych].

Stąd też w wydanej decyzji PUODO nakazał obu instytucjom usunięcie danych osobowych pozyskanych w związku z wnioskiem kredytowym.

Skargi na decyzję wniosły oba zainteresowane podmioty: BIK podkreślił, iż jest instytucją utworzoną w celu analizy zdolności kredytowej i budowania modelu scoringowch; swego czasu był kontrolowany przez GIODO, który uznał taki model oceny zdolności kredytowej za zgodny z prawem, zatem zmiana poglądu stanowi nieuzasadnione odstępstwo od utrwalonej praktyki, pominięto także wymogi wynikające z rekomendacji KNF, które nakładają obowiązek tworzenia modeli scoringowych. Natomiast SKOK wyraził pogląd, że na instytucjach finansowych spoczywają określone obowiązki w zakresie przeciwdziałania praniu pieniędzy, a w tym celu mogą także przetwarzać informacje objęte tajemnicą bankową (art. 106d pr.bank., ustawa AML). Mało tego: klient może żądać udzielenia informacji dotyczącej oceny zdolności kredytowej, zatem kredytodawca musi mieć podstawy do udzielenia takich odpowiedzi — jeśli dane usunie, nie będzie miał do czego sięgnąć. Oznacza to, że przetwarzanie danych z wniosków kredytowych opiera się zarówno na przesłance wypełnienia obowiązku prawnego, jak i na uzasadnionym interesie administratora.

Wojewódzki Sąd Administracyjny nie podzielił tych zarzutów: owszem, BIK, banki i SKOK-i są upoważnione do przetwarzania informacji, jednak w wyraźnie ograniczony prawem sposób. I tak przed zawarciem umowy można przetwarzać dane stanowiące tajemnicę bankową w celu dokonywania analizy ryzyka i oceny zdolności kredytowej, zaś przetwarzanie informacji celach statystycznych i analitycznych jest dopuszczalne trakcie trwania i po wygaśnięciu umowy. Skoro więc umowa nie została zawarta, to przesłanka legalizująca przetwarzanie danych po jej wygaśnięciu nigdy nie zaistniała — przeto skutkiem nie zaciągnięcia kredytu jest brak podstaw do przetwarzania danych osobowych niedoszłego kredytobiorcy na przyszłość.
Wcale nie na marginesie sąd zwrócił uwagę, że nie ma przepisów, z których wynikałoby związanie PUODO wynikami kontroli GIODO — zaś ewentualna zmiana poglądu organu uzasadniona względami praworządności i zgodności rozstrzygnięć z prawem nie narusza art. 8 kpa (wyrok NSA z 1 marca 2018 r., II OSK 2028/17. Co więcej rekomendacje KNF nie są nadrzędne nad powszechnie obowiązującymi przepisami prawa, a więc nie mogą modyfikować przepisów o ochronie danych osobowych i przetwarzaniu informacji stanowiących tajemnicę bankową. Ba, zdaniem WSA argumenty były nietrafne, nawet biorąc pod uwagę przedstawiony przez BIK schemat tworzenia modeli scoringowych. Otóż ocena wiarygodności klienta następuje na podstawie porównania profilu klienta z danymi osób, którzy kredyt już dostali i je spłacają — skoro skarżąca kredytu nie ma, to jej dane do niczego się przydać nie mogą.
W ocenie WSA oznacza to, że miało miejsce przetwarzanie danych osobowych bez sprecyzowanego i zgodnego celu — „na zapas” — zatem decyzja nakazująca usunięcie danych była prawidłowa.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

11 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
11
0
komentarze są tam :-)x