Naczelny Sąd Administracyjny wydał 29 maja 2025 r. wyrok, który ma istotne znaczenie dla ochrony danych osobowych osób ubiegających się o kredyt. Sąd uchylił wcześniejszy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 2021 r. i oddalił skargę Biura Informacji Kredytowej (BIK) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO). Tym samym uznał, że nie można przetwarzać danych osoby, która wnioskowała o kredyt, ale nie zawarła z bankiem umowy.
Sprawa rozpoczęła się od skargi osoby fizycznej, która złożyła wniosek kredytowy, ale ostatecznie nie zdecydowała się na podpisanie umowy. Mimo to jej dane były dalej przetwarzane przez bank oraz BIK – w szczególności w kontekście oceny zdolności kredytowej i analizy ryzyka. Prezes UODO uznał, że po rezygnacji z zawarcia umowy, brak jest podstaw do dalszego przetwarzania danych osobowych tej osoby i nakazał ich usunięcie.
BIK nie zgodził się z tą interpretacją i odwołał się do WSA, który w 2021 r. uznał, że podstawą przetwarzania danych mogą być przepisy Prawa bankowego oraz tzw. prawnie uzasadniony interes wynikający z RODO. Jednak po zaskarżeniu wyroku przez UODO, NSA przychylił się do stanowiska organu nadzorczego, stwierdzając, że przetwarzanie danych niedoszłych klientów nie może być kontynuowane w celu budowy modeli scoringowych.
NSA jednoznacznie wskazał, że samo złożenie wniosku kredytowego nie uprawnia banków i instytucji takich jak BIK do dalszego wykorzystywania danych osobowych, jeśli nie doszło do finalizacji umowy. Budowa modeli scoringowych, nawet w oparciu o uzasadniony interes administratora, nie może odbywać się kosztem praw osób fizycznych, których dane zostały pozyskane jedynie na etapie zapytania kredytowego.
To nie pierwsze orzeczenie NSA w tej sprawie – sąd już wcześniej wskazywał, że instytucje finansowe muszą działać w zgodzie z zasadą minimalizacji danych i nie mogą przetwarzać informacji osobowych na wyrost, w szczególności w sytuacjach, gdy potencjalny klient nie staje się stroną umowy.
Wyrok stanowi ważny sygnał dla całego sektora finansowego – przypomina, że ochrona danych osobowych nie kończy się na podpisaniu formularza, a obowiązek ich przetwarzania musi mieć wyraźną podstawę prawną.