W przedmiotowym orzeczeniu (III OSK 984/22, niepubl.), NSA rozstrzygnął ostatecznie spór między Prezesem UODO, a BIK. Według sądu drugiej instancji, jeśli konsument nie zawarł ostatecznie umowy z bankiem (a sama procedura kredytowa zakończyła się na etapie złożenia wniosku), bank i BIK nie mają prawa przetwarzać jego danych osobowych pozyskanych w celu oceny zdolności kredytowej i ryzyka kredytowego. Zdaniem Prezesa UODO, w sytuacji braku zawarcia umowy, nie ma podstaw prawnych do przetwarzania danych.
NSA zajął stanowisko odmienne niż sąd pierwszej instancji, który stwierdził, że BIK działał w ramach podstaw przewidzianych w artykule 6 ust. 1 lit. c i f RODO, tj. na podstawie prawnego obowiązku ciążącego na administratorze i uzasadnionego interesu administratora. Według WSA, obowiązek prawny w tym wypadku stanowiły przepisy prawa bankowego dotyczące funkcjonowania BIK i wymiany informacji między bankami (art. 105 i 105a). Uzasadniony interes administratora został z kolei ulokowany w kwestiach związanych z dochodzeniem i ochroną przed roszczeniami.
NSA całkowicie nie zgodził się z tym stanowiskiem i przychylił się do opinii Prezesa UODO, stwierdzając, że dane osoby, która ostatecznie nie uzyskała kredytu, nie mogą być przetwarzane w celu opracowywania modeli scoringowych, tj. narzędzi służących analizie i opracowywaniu danych statystycznych. Nie jest to pierwsze orzeczenie NSA, w którym sąd zajął takie stanowisko. W lutym tego roku zapadł inny wyrok w podobnej sprawie (III OSK 6563/21, Legalis). W tamtym orzeczeniu sąd pochylił się bliżej nad kwestiami uzasadnionego interesu administratora, wskazując, że nie stanowi on – w tym wypadku – ważnej podstawy przetwarzania danych osobowych.
Źródło: https://uodo.gov.pl/pl/138/3721
