W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”, Informujemy, że Naczelny Sąd Administracyjny w wyroku z dnia 27 sierpnia 2019 r. potwierdził, że Prawo bankowe nie legalizuje zbierania danych klientów na przyszłość w jakimkolwiek modelu

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

Informujemy, że Naczelny Sąd Administracyjny w wyroku z dnia 27 sierpnia 2019 r. potwierdził, że Prawo bankowe nie legalizuje zbierania danych klientów na przyszłość w jakimkolwiek modelu elektronicznym (sprawa dotyczyła zbierania danych z zapytań kredytowych)?

Sprawa dotyczyła skargi na odmowę usunięcia danych osobowych przetwarzanych przez bank w zakresie zapytań kredytowych z października 2013 r., stycznia 2014 r., maja 2014 r. Klient banku żądał usunięcia archiwalnych zapytań Banku oraz przetwarzania danych osobowych niezwiązanych z produktem finansowym, który posiada w tym Banku. W odpowiedzi Bank stwierdził m. in., iż zapytań kredytowych dokonano w związku z zamiarem ubiegania się o kredyt i miały one charakter jednorazowy. Jednocześnie Bank uznał, że nie ma podstaw prawnych do usunięcia wskazanych zapytań, gdyż zostały dokonane zasadnie i poprawnie.

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe. W ocenie Sądu I instancji stanowisko GIODO (obecnie UODO), iż w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem brak jest przesłanek ustawowych legalizujących dalsze przetwarzanie przez bank danych osobowych niedoszłego klienta.

Sąd I instancji (WSA w Warszawie, sygn. akt II SA/Wa 2221/16) podkreślił, że przetwarzanie danych osobowych w takiej sytuacji nie jest też niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Bank, a w szczególności celu, jakim jest prawo do podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi, gdyż umowa kredytowa nie została ostatecznie zawarta w wyniku tychże zapytań kredytowych.

NSA oddalił skargę kasacyjną banku (sygn. akt I OSK 2567/17) i przyznał rację GIODO (obecnie UODO) oraz Sądowi I instancji. NSA podkreślił, że dane dotyczące osoby składającej zapytania kredytowe, czyli m. in. dane o ilości i częstotliwości występowania o kredyt, z którą nie doszło do zawarcia umowy kredytowej, powinny zostać usunięte z Biura Informacji Kredytowej i bankowych baz.

Wyrok sądu I instancji oraz decyzje GIODO (obecnie UODO) zapadły przed wejściem w życie RODO, jednakże zachowują swoją aktualność w obecnym stanie prawnym. Stanowisko NSA jest istotne dla potencjalnych klientów banków, którzy świadomie dysponują swoimi danymi i (jak wynika z ww. stanowiska) mogą żądać usunięcia swoich danych w przypadku, gdy ostatecznie do zawarcia umowy z bankiem nie dojdzie.