Tak zwany scoring kredytowy, czyli system oceny ryzyka i zdolności kredytowej, jest procesem przetwarzania danych osobowych charakterystycznym dla banków i innych instytucji świadczących usługi finansowe. Jednocześnie jest to proces, który nieraz budzi duże zainteresowanie organu nadzorczego (vide kara nałożona na Toyota Bank Polska SA). W przedmiotowej sprawie właśnie proces tzw. scoringu okazał się być kością niezgody między administratorami a osobą, której dane dotyczyły.
Sprawa została zapoczątkowana przez niedoszłego klienta banku, który złożył skargę do organu nadzorczego, w której wskazał, że – mimo braku zawarcia umowy kredytowej – bank i BIK nadal przetwarzały dane pozyskane w celu oceny jego zdolności kredytowej i analizy ryzyka kredytowego. Regulator zgodził się ze skarżącym, że skoro nie doszło do zawarcia umowy, to ani bank, ani BIK nie mają podstawy prawnej do dalszego przetwarzania danych niedoszłego klienta. Bank i BIK zaskarżyli decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA).
Skarżący powołali się na art. 6 ust. 1 lit. f RODO, wskazując swój uzasadniony interes jako podstawę prawną przetwarzania, oraz na art. 105a PrBank, regulujący przetwarzanie danych przez banki i BIK w celu oceny ryzyka i zdolności kredytowej. Sądy administracyjne obu instancji nie zgodziły się z przedstawioną argumentacją i podtrzymały stanowisko Prezesa UODO.
Jest to kolejny w ostatnim czasie ciekawy wyrok, w którym NSA stanął na stanowisku, że należy ograniczyć przetwarzanie danych osobowych przez banki. Warto przypomnieć na przykład sprawę Banku Millenium (III OSK 4868/21, Legalis), w której sąd stwierdził, że bank nie może przechowywać danych swoich byłych klientów „na zapas” w celu dochodzenia ewentualnych roszczeń w przyszłości.
Źródło: https://uodo.gov.pl/pl/138/3558
