Nie ma umowy? Nie ma danych klienta
Najwyższy Sąd Administracyjny stanął po stronie klientów i Urzędu Ochrony Danych osobowych (III OSK 6563/21). Na stronie UODO można przeczytać:
Nie można przetwarzać danych wnioskodawcy o kredyt, jeżeli nie doszło do zawarcia umowy klienta z bankiem.
NSA stawia sprawę jasno. Przetwarzanie danych osoby, która nie uzyskała kredytu, nie może być uznane za uzasadniony interes administratora. Właśnie ten argument, czyli art. 6 ust. 1 lit. f RODO, cytowały Alior Bank i BIK przed sądem jako podstawę prawną swoich działań. NSA stwierdził jednak, że praktyki banku i BIK są niezgodne zapisami RODO, a także z Prawem bankowym (art. 105).
Jeśli więc nie doszło do podpisania umowy, bank nie ma prawa do informacji o zdolności kredytowej, oceny ryzyka ani danych osobowych. Prawdo do przetwarzania kończy się wraz z odmową udzielenia kredytu. To samo dotyczy BIK i niesfinalizowanych zapytań o zdolność kredytową.
Czytaj dalej: Bankomat i wpłatomat bez papieru. Pokwitowanie odbierzesz inaczej
Gdzie Alior Bank popełnił błąd?
Kontekst sprawy sięga 2017 roku. Bank uzyskał dane osobowe niedoszłego klienta w lipcu, gdy klient starał się o kredyt. Kolejną próbę ta sama osoba podjęła w listopadzie. Znów nie doszło do zawarcia umowy kredytowej. Wiosną 2018 roku ta sama osoba założyła konto dla firmy oraz rachunek oszczędnościowo-rozliczeniowy w Alior Banku, tym samym zawarła umowę ramową i o prowadzenie ROR. W sierpniu i październiku tego samego roku ponownie złożyła dwa wnioski o kredyt, nadal bez skutku.
Również w październiku 2018 roku niedoszły kredytobiorca złożył w banku wniosek o usunięcie zapytań kredytowych oraz wycofał zgody na przetwarzanie w celach marketingowych danych powiązanych z dwoma wnioskami. Bank odmówił, twierdząc, że ma prawo przetwarzać informacje z zapytań kredytowych osoby związanej z bankiem aktywnymi umowami. Przy czym część danych pochodziła jeszcze z czasu przed zawarciem umowy.
Czytaj dalej: Czy gromadzenie gotówki to nowy must-have? Europejskie banki apelują do obywateli
Tym samym Alior Bank twierdził, że może odmówić zawarcia umowy kredytowej, ale nadal przetwarzać dane, w tym informacje z zapytań do BIK. Przetwarzane były dane osobowe w szerokim zakresie, a także wizerunek, informacje o pracodawcy i wysokości uzyskiwanego dochodu oraz status dewizowy. W momencie wysłania zapytania do Biura Informacji Kredytowej przez bank także ta instytucja uzyskuje wszystkie dane klienta i prawo do ich przetwarzania w celu oceny zdolności kredytowej.
Klient, o którym mowa, udał się ze swoją sprawą do UODO. Następnie sprawa trafiła do sądu, który stanął po stronie ochrony danych osobowych. Alior Bank i BIK zaskarżyły decyzję. Skarga została najpierw oddalona przez Wojewódzki Sąd Administracyjny w Warszawie (II SA/Wa 1982/20), a w wyroku z 13 lutego 2025 roku NSA oddalił skargę kasacyjną.
Będzie łatwiej o kredyt?
Decyzja Najwyższego Sądu Adminstracyjnego może mieć jeszcze jedną korzyść dla klientów. Niektóre banki sprawdzają nie tylko aktualną zdolność kredytową i ocenę ryzyka, ale także poprzednie zapytania. Możliwe jest obniżenie oceny klienta ubiegającego się o kredyt, jeśli bak uzna, że zapytań było zbyt dużo w tym samym czasie. Powód tego nie jest ważny i nikt nie będzie słuchał wyjaśnień.
NSA już wcześniej zasądził (I OSK 2567/17), że niesfinalizowane zapytania powinny znikać z bazy BIK, a do wysłania zapytania konieczna jest zgoda klienta. Jeśli nadmiarowe informacje będą usuwane, być może Polacy będą mieli lepszy dostęp do kredytów.
