Warunkiem złożenia wniosku o kredyt jest udzielenie zgody na przetwarzanie danych w celu oceny zdolności kredytowej i analizy ryzyka. Bank ma także prawo przetwarzać dane osobowe swych klientów w zakresie, w jakim zezwalają na to przepisy prawa. Czy to oznacza, że dopuszczalne jest przetwarzanie danych niedoszłych kredytobiorców, bez ich zgody, np. w celu „trenowania” modeli scoringowych? (wyrok NSA z 1 października 2025 r., (III OSK 1552/22).
opis stanu faktycznego:
- sprawa zaczęła się od skargi na udostępnienie przez SKOK danych osobowych niedoszłego kredytobiorcy i ich przetwarzanie przez Biuro Informacji Kredytowych S.A. w celu oceny zdolności kredytowej i analizy ryzyka;
- (na marginesie przypomnę, że UOKiK prowadzi postępowanie w/s uznania stosowanego przez BIK modelu tworzenia scoringu jako antykonkurencyjnej zmowy banków);
- w wydanej decyzji PUODO uznał, iż instytucje finansowe nie są upoważnione do przechowywania danych osób tylko na tej podstawie, że wnioskowały one o udzielenie kredytu, a więc nakazał usunięcie danych niedoszłego klienta;
- pogląd ten podtrzymał Wojewódzki Sąd Administracyjny, który zwrócił uwagę, że „karmienie” bazy BIK danymi na potrzeby statystyczne i analityczne jest dozwolone, jednak wyłącznie w trakcie wykonywania i po rozwiązaniu umowy kredytu — a skoro umowy nie było, to badanie scoringu tej osoby jest zbyteczna;
art. 105a ust. 1 i 4 pr.bank.
1. Przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty […] informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe […] w zakresie dotyczącym osób fizycznych może być wykonywane […] w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
4. Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli […]
- (wyrok WSA został opisany w tekście „Przetwarzanie danych osobowych „na zapas” jest niedozwolone (tudzież przetwarzanie danych z wniosku kredytowego w celu tworzenia modeli scoringowych)”);
skarga kasacyjna:
- ten wyrok zaskarżył BIK, którego zdaniem strony banki mają obowiązek analizować zdolność kredytową, zaś prawo bankowe i rekomendacje KNF nakazują w tym celu przetwarzać dane osobowe klientów;
- ba, kredytodawca ma także obowiązek wyjaśnienia czynników wpływających na scoring po odmowie udzielenia kredytu, co oznacza, że musi mieć także możliwość przechowywania danych niedoszłego klienta — a więc przetwarzanie danych osobowych niedoszłych kredytobiorców jest dozwolone;
- a jeśli tego wszystkiego PUODO nie rozumie, to powinien był skonsultować się z KNF, który zna się na obowiązkach instytucji finansowych;
wyrok NSA:
- jasne, bank ma obowiązek ocenić zdolność kredytową przed pożyczeniem pieniędzy, zatem ubiegając się o kredyt trzeba wyrazić zgodę na przetwarzanie danych osobowych m.in. w celu analizy wniosku i scoringu, zaś takie przetwarzanie odpowiada przesłance „wypełnienia obowiązku prawnego” (art. 6 ust. 1 lit c RODO);
- jednak przepisy o przetwarzaniu danych osobowych bez zgody dotyczą tylko osób będących klientami banków, tj. osób, z którymi umowa została podpisana;
- co oznacza, że bank miał prawo pozyskać dane przyszłej klientki i przekazać je do BIK — ale dalsze przetwarzanie danych osób, które wprawdzie wniosek złożył, ale umowy nie zawarły, wymaga ich wyraźnej zgody;
- przetwarzania danych niedoszłych kredytobiorców nie sposób także opierać na przesłance niezbędności dla prawnie uzasadnionych interesów administratora, ponieważ oparcie się na tej przesłance nie jest możliwe, jeśli jest wyczerpująca regulacja dotycząca przetwarzania danych (a jest nią art. 105-105a pr.bank.);
- mało tego: celem przetwarzania danych była możliwość oceny zdolności kredytowej i analizy ryzyka wnioskującej; skoro kredytu nie udzielono, cel ten został zrealizowany, a więc przesłanka obejmujące scoring kredytowy — odpadła;
- ba, NSA sięgnął nawet dokumentów dotyczących prac legislacyjnych i zwrócił uwagę, że dwie dekady temu był pomysł przepisu, iż banki mogą „przetwarzać dane o zapytaniach banków o osoby, których wnioski o udzielenie kredytu zostały rozpatrzone negatywnie, przez okres jednego roku od dnia otrzymania zapytania”, ale w rezultacie przepisu takiego nie uchwalono — a skoro norma nie obowiązuje, to uprawnienia nie można sobie domniemywać, por. art. 105 ust. 4f w/g druku nr 2513a z 2004 r.;
- „ubocznie” NSA podkreślił też, iż zgodnie z dokonaną po wydaniu spornej decyzji nowelizacją prawa bankowego (art. 70a ust. 1c pr.bank. dodany Dz.U. z 2023 r. poz. 1723) wnioskujący ma tylko 1 rok na złożenie wniosku o wyjaśnienie dokonanej oceny zdolności kredytowej — zatem ten przepis wyznacza horyzont czasowy przetwarzania danych (wydaje się, że BIK winszował sobie 10 lub nawet 12 lat od przekazania danych);
- sumarycznie oznacza to, że przetwarzanie przez banki i BIK danych osobowych niedoszłych kredytobiorców „na potrzeby budowy oceny zdolności kredytowej innych podmiotów”, tworzenia modeli scoringowych oraz budowania profili osób, które ubiegały się o kredyt — jest to bowiem jawny przykład przechowywania danych „na zapas” — jest sprzeczne z RODO;
- jako bezzasadny uznano także zarzut braku współdziałania z Komisją Nadzoru Finansowego — bo sprawa dotyczy przetwarzania danych osobowych, organem właściwym w tym zakresie jest PUODO, zatem pogląd KNF nie ma nic do rzeczy, przeto nie doszło do naruszenia art. 7b kpa;
- mało tego: rekomendacje KNF nie stanowią źródła prawa powszechnie obowiązującego, zatem nawet jeśli banki do nich stosować się muszą — to nie mogą być podstawą do zbierania i gromadzenia informacji o osobach.
Biorąc pod uwagę taką wykładnię NSA oddalił skargę kasacyjną.