Wyrok Naczelnego Sądu Administracyjnego nakazujący usunięcie przez bank i Biuro Informacji Kredytowej (BIK) informacji o zapytaniach kredytowych klienta, potwierdza znaczenie jednej z podstawowych zasad rządzących przetwarzaniem danych osobowych, tj. zgodności z prawem.

Przetwarzanie danych jest dopuszczalnie wyłącznie w przypadku, gdy istnieje ku temu ważna podstawa prawna. Jeżeli do zawarcia umowy z klientem nie dojdzie, podstawa ta może po prostu zniknąć, co pociągnie za sobą istotne konsekwencje.

W trakcie rozmów przed zawarciem umowy, firma często zbiera pewne dane osobowe na temat swojego klienta. Wystarczy, że potencjalny klient „zostawi” na stronie internetowej firmy swoje imię i nazwisko, adres e-mail czy numer telefonu w celu kontaktu ze strony konsultanta i już w tym momencie rozpoczyna się przetwarzanie jego danych osobowych.

Jednak z różnych powodów do skorzystania z oferty i zawarcia umowy może nie dojść. W takim przypadku powstaje zasadnicze pytanie, czy firma może w dalszym ciągu przetwarzać dane osobowe takiego niedoszłego klienta.

W przypadku zapytań kredytowych, do tej pory dane osobowe były przetwarzane w dalszym ciągu przez banki i Biuro Informacji Kredytowej. Uznawały one, że ta informacja jest im potrzebna do oceny zdolności kredytowej. Tymczasem, takie przetwarzanie istotnie pogarszało sytuację osoby, która starała się o udzielenie kredytu. Po kilku kolejnych odmowach, jej szanse malały niemal do zera. Jej dane osobowe były dalej przetwarzane, mimo iż do podpisania umowy kredytu z żadnym z banków finalnie nie doszło.

Dopóki między stronami prowadzone są rozmowy zmierzające do zawarcia umowy, w tym negocjacje jej przyszłych warunków, administrator jest uprawniony do przetwarzania danych osobowych drugiej strony na podstawie art. 6 ust. 1 lit. b RODO.

Zgodnie z tym przepisem, przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie tej osoby, przed zawarciem umowy.

Kiedy staje się jasne, że do skorzystania z oferty administratora nie dojdzie, niezależnie od przyczyny, powyższa podstawa – jak wynika ze stanowiska Prezesa UODO w powyższej sprawie, którego słuszność potwierdził Naczelny Sąd Administracyjny – odpada.

W takiej sytuacji administrator, których chce w dalszym ciągu legalnie przetwarzać dane osobowe, powinien zbadać, czy może działać w oparciu o inną podstawę prawną, np. zgodę, przepis RODO, inny przepis aktu prawnego rangi unijnej lub prawa krajowego.

Administratorzy często mają interes w dalszym przetwarzaniu danych osobowych niedoszłych klientów. W omawianej sprawie bank i BIK wskazywały, że informacja o liczbie i częstotliwości wniosków składanych przez klienta jest istotna w procesie oceny zdolności i analizy ryzyka kredytowego, standardowo przeprowadzanej przed podjęciem decyzji w sprawie kredytu. Sąd podważył jednak dopuszczalność dalszego przechowywania danych z tych zapytań w odniesieniu do osób, z którymi umowy kredytowej bank nie podpisał.

W innych przypadkach, firma może po prostu chcieć zachować dane osobowe niedoszłego klienta, w tym jego adres e-mail lub numer telefonu, w celu ewentualnego przyszłego kontaktu, np. przedstawienia nowej oferty.

W świetle wyroku NSA jeszcze większego znaczenia nabierają tzw. testy równowagi, które są przeprowadzane w celu ustalenia czy prawie uzasadniony interes realizowany przez administratora lub stronę trzecią może być podstawą przetwarzania danych osobowych wybranych kategorii osób.  Błędem przy przeprowadzaniu testu równowagi byłoby umniejszanie interesów oraz praw i wolności osoby fizycznej, w szczególności gdy ich należyte uwzględnienie prowadziłoby do negatywnego wyniku takiego testu.

W ocenie NSA, wskazane w toku podstępowania interesy banku nie korzystały z pierwszeństwa przed interesami ich niedoszłego klienta, któremu kredytu odmówiono.

Wbrew niektórym komentatorom, wyrok NSA będzie mieć duże znaczenie dla banków. Co prawda, wyroki sądowe nie są źródłem prawa w Polsce, ale w tej sprawie Naczelny Sąd Administracyjny podzielił interpretację prawa organu nadzorczego.

Tymczasem, obecnie Prezes Urzędu Ochrony Danych Osobowych jest wyposażony w konkretne środki administracyjne, np. decyzje nakazujące ograniczenie przetwarzania, usunięcie danych, a w ostateczności nakładające kary pieniężne.

Nasz krajowy organ nadzorczy bardzo rzadko zmienia prezentowane wcześniej stanowiska w zakresie wykładni przepisów prawa o ochronie danych osobowych. Dlatego, mimo iż sprawa dotyczyła przetwarzania danych jeszcze przed rozpoczęciem stosowania RODO, treść orzeczenia jest aktualna także w obecnym stanie prawnym.