Czy BIK może przetwarzać dane o upadłości konsumenckiej — pobrane z jawnego rejestru?

przez

Czy BIK może pozyskiwać dowolne dane o osobach z powszechnie dostępnych baz i rejestrów, w celu oceny ich wiarygodności finansowej i ewentualnego ryzyka kredytowego? Na przykład dane o upadłości konsumenckiej z Krajowego Rejestru Zadłużonych, z powołaniem się na przesłankę uzasadnionego interesu? Czy jednak jako instytucja powołana i funkcjonująca na podstawie wyraźnego przepisu prawa BIK może tylko i aż tyle, na ile pozwala mu ustawa — zatem przetwarzanie danych o upadłości konsumenckiej jest niedopuszczalne?

Wrocław
Ujęcie czysto ilustracyjne (fot. Olgierd Rudak, CC BY-SA 4.0)

wyrok Naczelnego Sądu Administracyjnego z 2 grudnia 2025 r. (III OSK 1109/25)
Przepis art. 105 ust. 4 ustawy Prawo bankowe wyłącza możliwość przetwarzania innych danych niż określone w przepisie art. 105a ust. 4 Prawa bankowego w oparciu o przepis art. 6 ust. 1 lit. f RODO w celu realizacji zadań, o jakich mowa w art. 105 ust. 4 Prawa bankowego.

opis stanu faktycznego:

  • sprawa zaczęła się od upadłości konsumenckiej — i umorzenia przez sąd wszystkich zobowiązań powstałych przed ogłoszeniem upadłości;
  • a ponieważ dane o upadłości zostały zassane przez Biuro Informacji Kredytowych S.A. z Monitora Sądowego i Gospodarczego, konsumentka zażądała usunięcia informacji, zaś po odmowie, złożyła skargę do PUODO;
  • w toku postępowania BIK wskazywał, że jest instytucją ustawowo uprawnioną do przetwarzania danych, w tym objętych tajemnicą bankową, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego;
  • sama w sobie informacja o upadłości konsumenckiej jest publicznie dostępna, bo przecież KRZ jest jawny, zarazem upadłość dłużnika jest wskazana w rozporządzeniu CRR i rekomendacjach KNF jako okoliczność, którą należy brać pod uwagę przy ustalaniu wymogów ostrożnościowych;

z ustawy o Krajowym Rejestrze Zadłużonych
art. 4. 1. [Krajowy] Rejestr [Zadłużonych’ jest jawny.
2. Każdy ma prawo zapoznać się z danymi ujawnionymi w Rejestrze oraz danymi objętymi treścią obwieszczeń za pośrednictwem sieci Internet.
art. 11. 1.  Dane zawarte w Rejestrze nie mogą być z niego usunięte, chyba że ustawa stanowi inaczej.
2. Dane, o których mowa w art. 5 i art. 6, automatycznie przestają być ujawniane po upływie 10 lat od dnia prawomocnego zakończenia lub umorzenia postępowania, którego dotyczą, chyba że ustawa stanowi inaczej. […]

z ustawy — prawo bankowe
art. 105. 4. Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych […]
art. 105. 4. Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą […]

  • co oznacza, że przesłanką legalizującą przetwarzanie danych o upadłości konsumenckiej jest uzasadniony interes administratora lub osoby trzeciej (art. 6 ust. 1 lit f RODO);
  • jednak PUODO nie dał się przekonać do tych argumentów i w wydanej decyzji nakazał usunięcie informacji z bazy BIK;

wyrok WSA:

  • owszem, BIK jest władny do przetwarzania danych wynikających z czynności bankowych i objętych tajemnicą bankową, aczkolwiek tylko w ściśle określonym zakresie;
  • jednakże dane o upadłości konsumenckiej ani nie wynika z czynności bankowych, ani też nie jest wskazana w prawie bankowym jako informacja, którą tej instytucji wolno przetwarzać;
  • nie ma przy tym znaczenia, iż instytucja prowadzi działalność w formie spółki akcyjnej — bo niezależnie od wybranej formuły prawnej, zakres uprawnień BIK wynika tylko z ustawy i nie można go poszerzać w oparciu o uzasadniony interes;
  • a ponieważ nawet „najszlachetniejsze intencje” nie zmieniają faktu, że podstawa prawna istnienia BIK nie pozwala na gromadzenie, przetwarzanie i udostępnianie bankom informacji o upadłości konsumenckiej, zatem decyzja PUODO była prawidłowa (wyrok WSA w Warszawie z 11 lutego 2025 r., II SA/Wa 1971/24);

skarga kasacyjna BIK:

  • w skardze kasacyjnej od niekorzystnego orzeczenia BIK podkreślił, że jako jeszcze jeden zwykły przedsiębiorca nie może być ograniczany w zakresie prowadzonej działalności gospodarczej: skoro każda spółka może powołać się na uzasadniony interes, to nie można zakazywać przetwarzania innych informacji w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, a także w celach statystycznych;
  • zwłaszcza, że sporne dane są jawne i publicznie dostępne, zaś tego rodzaju bazy danych mogą stanowić źródło informacji;

wyrok Naczelnego Sądu Administracyjnego:

  • Biuro Informacji Kredytowej jest instytucją powołaną na podstawie wyraźnego przepisu prawa bankowego, a jego zakres kompetencji, w tym uprawnienie do uzyskiwania i przetwarzania danych objętych tajemnicą bankową wynika wyłącznie z przepisów prawa; regulacje te mają charakter szczególnej normy powalającej na jednostronne, bez uzyskania zgody, ograniczenie praw jednostki w zakresie jej danych osobowych;
  • co do zasady BIK może przetwarzać wyłącznie dane klientów banków, tj. osób, które nawiązały więź prawną z instytucją finansową;
  • natomiast prawo bankowe nie zawiera przepisów pozwalających na przetwarzanie przez BIK danych o upadłości konsumenckiej — o ile nie ubiegała się ona o zawarcie umowy z bankiem, dzięki czemu bank pozyskałby te informacje przy składaniu wniosku;
  • w ocenie NSA art. 105-105a pr.bank. reguluje materię przetwarzania danych przez BIK całościowo, zatem nie jest dopuszczalne „dośpiewywanie” sobie reszty na podstawie RODO; sęk w tym, że kwestia dotyka konstytucyjnie chronionej autonomii informacyjnej jednostki i prawa do prywatności, a przecież ograniczenie takich praw może nastąpić wyłącznie w ustawie;
  • przepisem takim jest zarówno prawo bankowe jak i art. 6 ust. 1 RODO, które mogą być jednak wykładane wyłącznie ściśle — skoro więc kompetencje BIK sięgają wyłącznie danych klientów banków, to nie jest dopuszczalne przetwarzanie danych osób, które umowy z bankiem nie zawarły;

Nie jest prawnie dopuszczalne przetwarzanie [przez Biuro Informacji Kredytowych] danych osobowych, które nie zostały pozyskane przy okazji dokonywania konkretnej czynności bankowej.

  • stąd też „zaciąganie” przez BIK informacji czy to z KRZ, czy to z MSIG nie znajduje oparcia w żadnej z przesłanek wskazanych w RODO; powoływanie się na uzasadniony interes jest o tyle nietrafne, o ile administrator dysponuje wyraźną podstawą prawną przetwarzania — w takim przypadku nie można jej „uzupełniać” w oparciu o swoistą klauzulę generalną wyrażoną w art. 6 ust. 1 lit f RODO (por. „Czy dopuszczalne jest przetwarzanie danych osobowych na podstawie zgody, jeśli administrator mógłby skorzystać z innej przesłanki?”);
  • co innego jeśli BIK zdecyduje się, w ramach korzystania z wolności gospodarczej, świadczyć usługi inne, niż polegające na przetwarzaniu i udostępnianiu danych objętych tajemnicą bankową: w takim przypadku spółka będzie mogła funkcjonować jak każdy inny administrator, w oparciu o jedną z przesłanek — ale nie o prawo bankowe.

Biorąc pod uwagę taką wykładnię NSA oddalił skargę kasacyjną.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

11 komentarzy
Oldest
Newest
11
0
komentarze są tam :-)x