Naczelny Sąd Administracyjny 29 maja 2025 r. uchylił wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 29 października 2021 r. i oddalił skargę Biura Informacji Kredytowej na decyzję Prezesa UODO z 15 grudnia 2020 r. Prezes UODO nakazał w niej, żeby bank i BIK zaprzestały przetwarzania danych osobowych niedoszłego klienta w zakresie wynikającym z zapytania kredytowego.
Decyzja Prezesa UODO została wydana po przeprowadzeniu postępowania wszczętego na skutek skargi osoby, która wnioskowała o kredyt w banku, ale ostatecznie do zawarcia umowy nie doszło. Mimo to bank oraz BIK nadal przetwarzały jej dane osobowe, pozyskane w celu oceny zdolności kredytowej i oceny ryzyka kredytowego. Organ nadzorczy uznał, że skoro nie doszło do zawarcia umowy kredytowej, to zarówno bank, jak i BIK nie mają podstaw do dalszego przetwarzania danych tej osoby.
BIK zaskarżył decyzję Prezesa UODO, a Wojewódzki Sąd Administracyjny w Warszawie przyznał mu rację uznając, że podstawą przetwarzania wskazanych danych w BIK jest art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1-1c Prawa bankowego oraz art. 6 ust. 1 lit. f RODO w zw. z art. 118 Kodeksu cywilnego.
Wyrok ten został przez Prezesa UODO zaskarżony do NSA, który uchylił wyrok WSA i oddalił skargę BIK, a tym samym przychylił się do stanowiska wyrażonego w decyzji organu nadzorczego z 15 grudnia 2020 r.
NSA zgodził się z Prezesem UODO, że przetwarzanie danych w zakresie oceny zdolności kredytowej i analizy ryzyka kredytowego, związane z zapytaniami, które nie zakończyły się przyznaniem kredytu, nie może odbywać się w celu budowy tzw. modeli scoringowych. Są to narzędzia wykorzystywane przez banki i inne instytucje pożyczkowe do oceny zdolności kredytowej i analizy ryzyka kredytowego, w celu statystycznym i analiz oraz w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych. Jako podstawę przeprowadzenia tego rodzaju analiz w zakresie ochrony danych osobowych wskazane instytucje powołują się na art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes administratora.
To już kolejna sprawa, w której NSA potwierdził stanowisko Prezesa UODO w sprawie przetwarzania danych niedoszłego klienta banku.
