7 godzin temu
Naczelny Sąd Administracyjny uwzględnił dwie skargi kasacyjne Prezesa UODO. W jednej z nich stwierdził, iż ewentualne przyszłe roszczenia byłego klienta banku nie uzasadniają przetwarzania jego danych osobowych. W drugiej zaś, iż bank, jak i BIK są zobowiązane do zaprzestania przetwarzania danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy.
Przyszłe roszczenia byłego klienta nie uzasadniają przetwarzania jego danych
W pierwszej ze spraw (sygn. akt. III OSK 1594/22) NSA uznał za słuszne argumenty Prezesa UODO, który nakazał usunąć dane byłego klienta Santander Consumer Bank. W wyroku z 10 lipca 2025 r. sąd ten zgodził się z organem nadzorczym, iż administrator nie może powoływać się na uzasadniony interes (art. 6 ust. 1 lit. f RODO) i przetwarzać danych osoby, z którą nie łączy go już umowa.
W sprawie tej bank sprzedał wierzytelność klienta innemu podmiotowi. A podstawę przetwarzania jego danych widział w uzasadnionym interesie związanym z ewentualnymi roszczeniami, np. klienta wobec banku.
NSA – rozpatrując skargę Prezesa UODO na wyrok WSA – uznał, iż organ nadzorczy prawidłowo ocenił, iż bank nie wskazał istnienia roszczeń, których zaspokojenia domaga się od Skarżącego oraz nabywcy wierzytelności, jak również nie wykazał, aby zaspokojenia roszczeń domagał się od banku nabywca wierzytelności lub Skarżący. Naczelny Sąd Administracyjny podzielił stanowisko Prezesa UODO, iż ewentualne i niepewne roszczenia, które hipotetycznie mogłyby pojawić się w przyszłości nie są wystarczającą przesłanką uzasadniającą przetwarzanie takich danych. A skoro nie istnieje cel, który uzasadniałby przetwarzanie danych osobowych byłego klienta, to należy je usunąć.
Decyzja Prezesa UODO, której dotyczył wyrok NSA: DS.440.197.2019
Bank nie może przetwarzać danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy
10 lipca 2025 r. NSA (syg. akt. III OSK 165/22) uwzględnił także inną skargę kasacyjną Prezesa UODO na wyrok sądu niższej instancji. Organ nadzorczy wniósł o uchylenie w całości zaskarżonego wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie i oddalenie skargi ING Banku Śląski oraz Biura Informacji Kredytowej S.A. NSA w wyroku przychylił się do skargi kasacyjnej i uchylił wyrok WSA. Uznał tym samym, iż organ nadzorczy słusznie nakazał usunięcie danych niedoszłego klienta banku, dotyczące jego zapytania kredytowego, spółce ING Bank Śląski oraz Biuru Informacji Kredytowej (BIK).
NSA w wyroku tym potwierdził stanowisko Prezesa UODO, iż BIK i bank są zobowiązane do zaprzestania przetwarzania danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy o kredyt. Odpada wówczas cel przetwarzania, jakim jest badanie zdolności kredytowej.
Warto podkreślić, iż Naczelny Sąd Administracyjny zgodził się z argumentacją Prezesa UODO, iż przetwarzanie danych niedoszłego klienta z powołaniem się na przesłanki zawarte w art. 105a Prawa bankowego jest niewłaściwe. Dotyczy ono bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Tymczasem w sprawie tej pomiędzy bankiem a Skarżącym nie doszło do zawarcia umowy i powstania zobowiązania, co stosownie do art. 105a ust. 1-6 Prawa bankowego dawałoby podstawę do dalszego przetwarzania danych osobowych Skarżącego.
Decyzja Prezesa UODO, której dotyczył wyrok NSA: DS.523.70.2020
Źródło: UODO
![Nowa ustawa o kredycie konsumenckim: więcej praw dla klientów i więcej zaufania do ubezpieczeń [komentarz]](https://prnews.pl/wp-content/uploads/2025/07/Micha%C5%82-Staniszewski-VeloBank-e1752672390755.jpg)
