III OSK 183/23

WyrokNaczelny Sąd Administracyjny2026-01-14

Skład orzekający: Tamara Dziełakowska, Przemysław Szustakiewicz, Arkadiusz Windak

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy Biuro Informacji Kredytowej S.A. (BIK) ma podstawę prawną do dalszego przetwarzania danych osobowych osoby fizycznej, która złożyła zapytanie kredytowe, ale nie zawarła umowy kredytowej, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, a także w celach statystycznych, analiz, tworzenia modeli scoringowych, dochodzenia lub obrony roszczeń, lub zapewnienia rozliczalności działań?
Ratio decidendi
Naczelny Sąd Administracyjny oddalił skargę kasacyjną, uznając, że brak zawarcia umowy kredytowej po złożeniu zapytania kredytowego oznacza zrealizowanie celu przetwarzania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. W związku z tym, dalsze przetwarzanie tych danych przez BIK nie znajduje podstawy prawnej w przepisach RODO ani Prawa bankowego, w tym w art. 6 ust. 1 lit. c, e i f RODO, ani w art. 105a Prawa bankowego. Przetwarzanie danych na wypadek hipotetycznych przyszłych roszczeń lub w celu zapewnienia rozliczalności nie stanowi prawnie uzasadnionego interesu administratora w rozumieniu art. 6 ust. 1 lit. f RODO.
Stan faktyczny
Sprawa dotyczyła skargi Biura Informacji Kredytowej S.A. (BIK) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO), która nakazała BIK usunięcie danych osobowych M.T. przetwarzanych w związku z zapytaniem kredytowym z dnia 21 lutego 2020 r., złożonym przez Spółdzielczą Kasę Oszczędnościowo-Kredytową (SKOK). M.T. zażądał usunięcia swoich danych, argumentując, że brak zawarcia umowy pożyczki uniemożliwia dalsze przetwarzanie. PUODO uznał żądanie za zasadne, stwierdzając brak podstaw prawnych do dalszego przetwarzania danych po niezawarciu umowy. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę BIK, a następnie Naczelny Sąd Administracyjny oddalił skargę kasacyjną BIK.
Rozstrzygnięcie
Oddalono skargę kasacyjną Biura Informacji Kredytowej S.A.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie: Przewodnicząca sędzia NSA Tamara Dziełakowska Sędziowie: sędzia NSA Przemysław Szustakiewicz sędzia del. WSA Arkadiusz Windak (spr.) Protokolant asystent sędziego Adam Płusa po rozpoznaniu w dniu 14 stycznia 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Biura Informacji Kredytowej S.A. z siedzibą w Warszawie od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 października 2022 r., sygn. akt II SA/Wa 1014/22 w sprawie ze skargi Biura Informacji Kredytowej S.A. z siedzibą w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 kwietnia 2022 r., nr DS.523.2927.2020.FT.MMo w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną. Wyrokiem z 5 października 2022 r. sygn. akt II SA/Wa 1014/22 Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu sprawy ze skargi Biura Informacji Kredytowej S.A. z siedzibą w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 7 kwietnia 2022 r. nr DS.523.2927.2020.FT.MMo w przedmiocie przetwarzania danych osobowych: oddalił skargę. Z uzasadnienia wyroku wynika, że Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z 7 kwietnia 2022 r., na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r. poz. 735 ze zm.), dalej "k.p.a." oraz art. 6 ust. 1 i art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi M.T. (dalej określanego też jako "uczestnik") na nieprawidłowości w procesie przetwarzanie jego danych osobowych przez Spółdzielczą Kasę Oszczędnościowo-Kredytową [...] (dalej "SKOK") oraz Biuro Informacji Kredytowej S.A. z siedzibą w Warszawie (dalej "BIK"), polegające na niespełnieniu żądania skarżącego usunięcia jego danych osobowych w zakresie zapytania kredytowego z dnia 21 lutego 2020 r.: 1) nakazał SKOK usunięcie danych osobowych M.T. przetwarzanych w związku z zapytaniem kredytowym z dnia 21 lutego 2020 r., 2) nakazał BIK usunięcie danych osobowych M.T. przetwarzanych w związku z zapytaniem kredytowym z dnia 21 lutego 2020 r., złożonym przez SKOK. Organ ustalił, że w dniu 21 lutego 2020 r. skarżący wystąpił do SKOK z wnioskiem o udzielenie pożyczki, w następstwie którego SKOK skierował do BIK zapytanie kredytowe dotyczące skarżącego. Ww. wniosek nie zakończył się zawarciem umowy pomiędzy skarżącym a SKOK. W dniach 25 lutego 2020 r. oraz 28 kwietnia 2020 r. skarżący zwrócił się do SKOK z żądaniem usunięcia jego danych osobowych w zakresie zapytania kredytowego z dnia 21 lutego 2020 r. przetwarzanego w bazie danych BIK. W ocenie skarżącego, z uwagi na brak zawarcia z nim umowy o pożyczkę brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie jego danych osobowych przez SKOK. W odpowiedzi BIK wskazał, że dane osobowe skarżącego zostały przekazane do BIK przez SKOK na podstawie 105a ust. 1 oraz art. 105 ust. 4 Prawa bankowego oraz na podstawie łączącej SKOK i BIK umowy. Prezes Urzędu Ochrony Danych Osobowych wyjaśnił w decyzji, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c). Ponadto, na podstawie art. 17 ust. 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z okoliczności wymienionych w tym przepisie. Okolicznością taką jest m.in. brak niezbędności danych osobowych do celów, w których zostały zebrane lub w inny sposób przetwarzane. Zdaniem organu, w związku z tym, że nie doszło do zawarcia umowy pożyczki pomiędzy skarżącym a SKOK, odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez SKOK oraz BIK. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. W związku z dokonaniem przez SKOK oraz BIK oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych skarżącego został zrealizowany i brak było podstaw prawnych do kontynuowania tego procesu. Odwołując się do orzecznictwa organ stwierdził, że powoływanie się na konieczność przetwarzania danych osobowych wnioskodawcy w zakresie pytań kredytowych po dokonaniu weryfikacji zdolności kredytowej dla potrzeb tworzenia modeli scoringowych jest nieuprawnione. Według organu, za podstawę przetwarzania danych osobowych skarżącego nie mogą być również uznane wskazane przez BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Powołany przez BIK art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją, bez zgody osoby, której te informacje dotyczą. Ponadto, zarówno SKOK jak i BIK nie mogą przetwarzać danych osobowych skarżącego dotyczących zapytania kredytowego na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, albowiem w toku prowadzonego postępowania nie wykazały, aby zaszła którakolwiek z przesłanek określonych w ww. przepisie. W przypadku zapytania kredytowego nie można mówić ani o stosunku gospodarczym ani transakcji okazjonalnej, które uzasadniałyby zastosowanie środków bezpieczeństwa finansowego oraz rodziłyby po stronie odpowiednio SKOK czy BIK obowiązek prawny wynikający z ww. przepisu prawa. Organ stwierdził, że o ile samo pozyskanie danych osobowych skarżącego przez SKOK, a następnie udostępnienie tych danych przez SKOK w BIK w związku z badaniem zdolności kredytowej spełniało warunki legalnego przetwarzania danych osobowych, to jednak po dokonaniu tej oceny dalsze przetwarzanie danych przez oba ww. podmioty nie znajduje oparcia w żadnej z przesłanek, o których mowa w art. 6. ust. 1 RODO. Odnosząc się do powołanego przez BIK celu ustalenia, dochodzenia lub obrony roszczeń, PUODO podniósł, że zebrany materiał dowodowy nie wykazał, aby skarżący wystąpił z jakimkolwiek roszczeniem wobec SKOK czy BIK, które uzasadniałoby przetwarzanie jego danych osobowych. SKOK i BIK nie wskazały także na istnienie roszczeń, których dochodzą od skarżącego. W ocenie PUODO odwoływanie się w tym wypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych jakie klient mógłby potencjalnie wytoczyć bankowi na tle nieistniejącego między stronami stosunku zobowiązaniowego, nie znajduje żadnego prawnego i logicznego uzasadnienia. Organ uznał wniosek skarżącego o usunięcie jego danych osobowych, złożony na podstawie art. 17 ust. 1 RODO za zasadny. Na powyższą decyzję BIK wniosło skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Strona skarżąca wskazała, że zaskarża decyzję w części, tj. w zakresie pkt 2, i zarzuciła jej naruszenie art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70, art. 70a i art. 5 ust. 1 pkt 3 ustawy Prawo bankowe, art. 6 ust. 1 lit. e i f RODO. Ponadto BIK zarzuciło naruszenie art. 7, art. 7b, art. 77 § 1, art. 80 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych, poprzez zaniechanie wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo-ekonomicznych BIK oraz obowiązków prawnych i wynikających z zawartych przez BIK umów z bankami i instytucjami, niezwrócenie się do Komisji Nadzoru Finansowego, zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego oraz naruszenie art. 8 § 1 i § 2 k.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym. W odpowiedzi na skargę organ wniósł o jej oddalenie. W piśmie procesowym z dnia 9 września 2022 r. BIK podtrzymało zarzuty skargi oraz przedstawił dodatkową argumentację na ich poparcie. Wojewódzki Sąd Administracyjny w Warszawie uzasadniając wyrok wskazał, że w świetle RODO przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu. W sprawie jest niesporne, że BIK pozyskało dane osobowe uczestnika od SKOK w związku ze złożeniem z zapytania kredytowego z dnia 21 lutego 2020 r. W przypadku tym nie doszło do zawarcia umowy kredytu. Niesporne jest również, że BIK było uprawnione do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Skoro jednak nie doszło do zawarcia umowy kredytu, to, zdaniem Sądu I instancji, odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego. Znajduje to potwierdzenie w treści art. 105a Prawa Bankowego. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez BIK danych osobowych potencjalnego klienta. Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku braku zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań. Sąd Wojewódzki uznał za trafne stanowisko organu, że nie wystąpiła przesłanka legalizująca proces przetwarzania danych określona w art. 6 ust. 1 lit. c i lit. f RODO. Sąd I instancji ocenił jako niezasadny zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego. Podstawy prawnej przetwarzania danych osobowych w niniejszej sprawie nie mógł stanowić art. 105 ust. 4 Prawa bankowego samodzielnie, ani też w powiązaniu z art. 105a tej ustawy. Sąd Wojewódzki uznał, że przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Z kolei art. 70 Prawa bankowego stanowi wyłącznie o badaniu przez banki zdolności kredytowej i nie zawiera regulacji dotyczących przetwarzania danych osobowych. Wbrew stanowisku strony skarżącej aktualny pozostaje pogląd wyrażony w wyroku NSA z dnia 14 września 2005r., sygn. akt I OSK 39/05, wskazujący, że "Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń." W ocenie Sądu I instancji, powyższa argumentacja nie pozwala też na uznanie, że art. 105 ust. 4 Prawa bankowego określa prawnie uzasadniony interes realizowany przez BIK, a który mógłby być rozważony w kontekście art. 6 ust. 1 lit f RODO. Postawiony zarzut naruszenia art. 6 ust. 1 lit f RODO jest niezasadny. Zdaniem Sądu i instancji, na uwzględnienie nie zasługiwał również zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz w zw. z art. 105a Prawa bankowego. Przede wszystkim art. 70a ust. 1 Prawa bankowego nakłada na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego. Tego rodzaju obowiązku przepis ten nie nakłada na instytucje, o których mowa w art. 105 ust 4 Prawa bankowego. Zgodzić się też należy z organem, że przepis ten nie zakreśla żadnego terminu na wystąpienie z wnioskiem o przekazanie wyjaśnień dotyczących dokonania zdolności kredytowej. Słusznie też organ podniósł, że brak jest uzasadnienia dla przyjęcia, że BIK jest uprawnione do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Uczestnik postępowania wykazał w sposób jednoznaczny wolę usunięcia danych, zatem przyjąć należy, że nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego. Sąd Wojewódzki wskazał dalej, że BIK wskazało na naruszenie również art. 6 ust. 1 lit. e RODO, jednakże przepis ten BIK powołało jako podstawę prawną legalizującą przetwarzanie danych osobowych uczestnika postępowania dopiero w skardze. Zastosowanie tego przepisu w sprawie nie było w związku z tym przedmiotem oceny organu. Sąd wyjaśnił, że w odróżnieniu od przesłanki z art. 6 ust. 1 lit. c RODO - art. 6 ust. 3 nie wymaga określenia w podstawie prawnej celu przetwarzania, a jedynie takiej jej konstrukcji, z której wynika niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (zob. E. Bielak-Jomaa (red.), D. Lubasz (red.), "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz", Lex). Zdaniem Sądu I instancji, analizowane powyżej przepisy art. 70, art. 70a, art. 105 ust. 4, art. 105a Prawa bankowego nie wskazują na niezbędność przetwarzania przez BIK danych osobowych osoby ubiegającej się o kredyt w sytuacji, gdy nie doszło do zawarcia umowy. Elementu tego nie można się również doszukać w powołanych w skardze art. 9b Prawa bankowego oraz art. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2022 r. poz. 660). Zarzut naruszenia przez organ art. 6 ust. 1 lit. e RODO nie zasługiwał zatem na uwzględnienie. Wojewódzki Sąd podał, że w toku postępowania przed organem strona skarżąca jako podstawę przetwarzania danych osobowych uczestnika postępowania powoływała również art. 106d Prawa bankowego. W ocenie Sądu, z materiału dowodowego sprawy, w tym z wyjaśnień stron udzielonych w toku postępowania administracyjnego, nie wynika, aby w sprawie niniejszej któryś z przypadków określonych w art. 106d Prawa bankowego miał miejsce, w szczególności, aby występowało "uzasadnione podejrzenie" co do okoliczności określonych w ww. przepisach. Prawidłowo zatem organ uznał, że art. 106d Prawa bankowego nie uprawniał BIK do przetwarzania danych osobowych uczestnika postępowania. Następnie Sąd I instancji przytoczył treść art. 33 ust. 2 i 3 i art. 34 ust. 1 pkt 4 oraz art. 36 ust. 1 i 49 ust. 1 i 2 ustawy AML i podkreślił, że przepisy te dotyczą stosowania środków bezpieczeństwa finansowego wobec klientów instytucji (banków) w ramach prowadzonych stosunków gospodarczych. Nie odnoszą się natomiast do sytuacji, w której przetwarzane są dane z wniosków kredytowych, pomimo nienawiązania stosunku gospodarczego poprzez zawarcie umowy kredytowej. Sąd Wojewódzki uznał za nietrafny zarzut skargi dotyczący naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego. Sąd podał, że powołane Rekomendacje nie stanowią obowiązujących przepisów prawa, zatem nie mogły mieć znaczenia dla rozstrzygnięcia podjętego w niniejszej sprawie. Ponadto Rekomendacje nie odnoszą się do kwestii przetwarzania danych osobowych w zakresie zapytań kredytowych w sytuacji, gdy umowa pomiędzy bankiem a potencjalnym klientem nie została zawarta. Zdaniem Sądu I instancji, za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Zebrany w postępowaniu materiał dowodowy nie wykazał, aby uczestnik postępowania wystąpił z jakimkolwiek roszczeniem wobec BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia. BIK nie wskazało także na istnienie roszczeń, których dochodzi od skarżącego. Nie mógł być skuteczny, według Sądu I instancji, również zarzut naruszenia prawa materialnego sformułowany w pkt 6 skargi. Przetwarzanie danych w celu udokumentowania prawidłowości ich przetwarzania nie stanowi celu, który wynika z prawnie uzasadnionego interesu. Za nieuzasadnione Sąd Wojewódzki uznał zarzuty dotyczące naruszenia art. 7, art. 77 § 1 oraz art. 80 k.p.a., bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy, opierając się na wyjaśnieniach BIK (punkt 2 decyzji). Uzasadnienie decyzji odpowiada wymogom określonym w art. 107 § 3 k.p.a. Jako nieuzasadniony Sąd I instancji uznał również zarzut naruszenia art. 7b k.p.a. poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśnienia stanu faktycznego sprawy. W ocenie Sądu nie zachodziły przesłanki do podjęcia przez Prezesa UODO współdziałania z innymi organami administracji publicznej w oparciu o ww. przepis w celu wydania rozstrzygnięcia w sprawie. Podsumowując, Sąd stwierdził, że decyzja PUODO w zaskarżonej części jest zgodna z prawem. Od wyroku skargę kasacyjną wniosło, reprezentowane przez adwokata, Biuro Informacji Kredytowej S.A. z siedzibą w Warszawie ("BIK"), w której zarzucono zaskarżonemu wyrokowi, na podstawie art. 174 pkt 2 p.p.s.a., naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj.: 1. art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 7, w zw. z art. 77 § 1, w zw. z art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeksu postępowania administracyjnego (Dz.U. z 2020 r. poz. 256 ze zm.) w zw. z art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), poprzez uznanie przez Wojewódzki Sąd Administracyjny, że organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy, podczas gdy organ ten: - zaniechał dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo-ekonomicznych dla jakich zostało powołane Biuro Informacji Kredytowej S.A. oraz obowiązków prawnych i obowiązków wynikających z zawartych przez BIK umów z bankami i instytucjami ustawowo upoważnionymi do udzielania kredytów, co doprowadziło do wadliwej i niepełnej oceny stanu faktycznego skutkującej wadliwą oceną w zakresie ustalenia podstaw prawnych legitymujących skarżącego do przetwarzania danych osobowych, - zaniechał dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki i instytucje ustawowo upoważnione do udzielania kredytów, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom i tymże instytucjom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co doprowadziło do wadliwej oceny niezbędności przetwarzania danych osobowych uczestnika w przypadku nie zawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego i w konsekwencji do wadliwego uznania, że w ww. przypadku nie zachodzą przesłanki legitymujące go do przetwarzania danych osobowych uczestnika, - nie dokonał analizy podstawowych zasad funkcjonowania stabilnego sektora finansowego w tym pod kątem istnienia po stronie banków, a w konsekwencji BIK jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia pożyczki wynikającego z braku istnienia zdolności kredytowej po stronie uczestnika, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym, co doprowadziło do wadliwej oceny niezbędności przetwarzania przez niego danych osobowych uczestnika w przypadku niezawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego i w konsekwencji do wadliwego uznania, że w ww. przypadku nie zachodzą przesłanki legitymujące go do przetwarzania danych osobowych uczestnika, - nie zbadał wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji niezawarcia umowy pożyczki, pomimo że przepisy prawa upoważniają BIK do przetwarzania tych danych, co doprowadziło do wadliwej i niepełnej oceny stanu faktycznego skutkującej wadliwą oceną w zakresie ustalenia podstaw prawnych legitymujących go do przetwarzania danych osobowych, co w konsekwencji doprowadziło do oddalenia skargi przez WSA w skutek błędnego przyjęcia przez WSA braku istnienia podstawy prawnej do przetwarzania danych, zatem braku legitymacji do przetwarzania danych osobowych uczestnika; 2. art. 145 §1 pkt 1 lit. c) p.p.s.a. w związku z art. 7b k.p.a. w zw. z art. 7 k.p.a. w zw. z art. 77 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych poprzez uznanie, iż organ wyjaśnił stan faktyczny i prawny konieczny do podjęcia przez organ stosownych czynności, w tym zasadnie zaniechał zwrócenia się do Komisji Nadzoru Finansowego (dalej jako KNF), podczas gdy dla kompleksowego wyjaśnienia sprawy konieczne było zwrócenie się do KNF i współdziałanie w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności, wskutek czego PUODO wydał zaskarżoną decyzję w niepełnym stanie faktycznym i prawnym, czego WSA nie dostrzegł oddalając skargę i w konsekwencji wydał wyrok w oparciu o ten sam niepełny stan faktyczny i prawny; 3. art. 141 § 4 p.p.s.a. poprzez brak wskazania w uzasadnieniu wyroku przez WSA podstawy prawnej rozstrzygnięcia, jak i jej wyjaśnienia w zakresie, w jakim Sąd nie ustosunkował się w uzasadnieniu wyroku do zarzutu zawartego w skardze dotyczącego naruszenia przez PUODO art. 8 § 1 i § 2 k.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej, co w konsekwencji pozbawiło go możliwości odniesienia się do przesłanek jakimi kierował się WSA oceniając stan faktyczny i prawny sprawy. Zaskarżonemu wyrokowi, na podstawie art. 174 pkt 1 p.p.s.a., BIK zarzuciło naruszenie przepisów prawa materialnego, tj.: 1. art. 6 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119 z 4.05.2016, str. 1, dalej jako RODO) w zw. z art. 105 ust. 1 pkt. 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. (Dz.U. z 2021 r. poz. 2439) Prawo bankowe, dalej jako "Prawo bankowe" poprzez ich niewłaściwe zastosowanie przejawiające się w przyjęciu, że w sytuacji, gdy nie doszło pomiędzy uczestnikiem a Spółdzielczą Kasą Oszczędnościowo-Kredytową im. Franciszka Stefczyka (dalej jako "SKOK") zawarcia umowy pożyczki to nie jest uprawnione do przetwarzania danych osobowych uczestnika, a w konsekwencji przyjęcie, że nie posiada ww. podstawy prawnej do przetwarzania danych zawartych we wniosku o udzielenie pożyczki w przypadku niezawarcia umowy o pożyczkę, podczas gdy BIK jest ustawowo zobowiązane do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (dalej jako: rozporządzenia nr 575/2013); 2. art. 6 ust. 1 lit. c) RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz w zw. z art. 105a Prawa bankowego poprzez jego niezastosowanie wskutek uznania, iż przepisy prawa nie nakładają obowiązku przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej, a w konsekwencji przyjęcie, że BIK nie posiada podstawy prawnej do przetwarzania danych uczestnika w sytuacji nie zawarcia umowy o pożyczkę, podczas gdy posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki, instytucje ustawowo uprawnione do udzielania kredytów i BIK, w postaci obowiązku przekazania osobie ubiegającej się o pożyczkę w formie pisemnej na jej wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego; 3. art. 6 ust. 1 lit. e) RODO poprzez jego niezastosowanie wskutek uznania, że BIK nie posiada podstawy prawnej do przetwarzania danych uczestnika w sytuacji niezawarcia umowy o pożyczkę, podczas gdy posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania w interesie publicznym przez banki, instytucje ustawowo uprawnione do udzielania kredytów i BIK w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym; 4. art. 6 ust. 1 lit. f) RODO poprzez jego niewłaściwe zastosowanie wskutek uznania, że przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celach zabezpieczenia roszczeń może dotyczyć wyłącznie roszczeń istniejących i aktualnie dochodzonych i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie istnieje w sytuacji konieczności przetwarzania danych osobowych do ochrony przed roszczeniami istniejącymi, ale nie dochodzonymi w chwili dokonywania oceny, podczas gdy istotą uzasadnionego interesu administratora jest możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które w warunkach niniejszej sprawy są związane z przetwarzaniem danych osobowych na potrzeby opracowania oceny scoringowej uczestnika, niezbędnej do przeprowadzenia analizy zdolności kredytowej oraz analizy ryzyka kredytowego, które to zobowiązany jest gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym do udzielania kredytów dla realizacji celów ustawowych badania zdolności kredytowej; 5. art. 6 ust. 1 lit. f) RODO poprzez niewłaściwe zastosowanie poprzez przyjęcie, że wskutek braku zawarcia umowy o pożyczkę BIK nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika, podczas gdy istnieje prawnie uzasadniony jego interes w przetwarzaniu tych informacji pomimo niezawarcia umowy o pożyczkę, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym; 6. art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek uznania, że nie posiada podstawy prawnej do przetwarzania danych uczestnika, podczas gdy posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności jego działań jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych. Mając na uwadze wskazane zarzuty skarżący kasacyjnie wniósł o uchylenie zaskarżonego wyroku w całości i przekazanie do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, o zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego i opłaty skarbowej od pełnomocnictwa, według norm prawem przepisanych, o rozpoznanie skargi kasacyjnej na rozprawie. W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie i o przeprowadzenie rozprawy. Naczelny Sąd Administracyjny zważył co następuje: Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935; dalej "p.p.s.a."), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 p.p.s.a., przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu przy rozpoznaniu sprawy Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej. Skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie; 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 p.p.s.a.). Skarga kasacyjna Biura Informacji Kredytowej S.A. w Warszawie oparta została na obydwu podstawach kasacyjnych określonych w art. 174 pkt 1 i 2 p.p.s.a. W pierwszej kolejności zasadnym było odniesienie się do zarzutu naruszenia art. 141 § 4 p.p.s.a., który stanowi, że uzasadnienie wyroku powinno zawierać zwięzłe przedstawienie stanu sprawy, zarzuty podniesione w skardze, stanowiska pozostałych stron, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. O naruszeniu tego przepisu można mówić w przypadku, gdy uzasadnienie zaskarżonego wyroku nie spełnia jednego z ustawowych, wymienionych w jego treści warunków. Wyrok Sądu I instancji nie będzie poddawał się kontroli sądowoadministracyjnej w przypadku braku wymaganych prawem części (np. nieprzedstawienia stanu sprawy, czy też niewskazania lub niewyjaśnienia podstawy prawnej rozstrzygnięcia), a także wówczas, gdy będą one co prawda obecne, niemniej jednak obejmować będą treści podane w sposób niejasny, czy też nielogiczny, uniemożliwiający jednoznaczne ustalenie stanu faktycznego i prawnego, stanowiącego podstawę kontrolowanego wyroku sądu. W ocenie Naczelnego Sądu Administracyjnego, uzasadnienie zaskarżonego wyroku zawiera wszystkie wymagane prawem elementy i w pełni poddaje się kontroli instancyjnej. Z wywodów Sądu jasno wynikają motywy uznania zaskarżonej decyzji za zgodną z prawem. Sąd I instancji szczegółowo przedstawił aspekty faktyczne i prawne sprawy i ustosunkował się do zarzutów skargi. Nie sposób zgodzić się ze skarżącym kasacyjnie, że uzasadnienie wyroku nie daje możliwości odniesienia się do przesłanek jakimi kierował się WSA oceniając stan faktyczny i prawny sprawy na skutek pominięcia przez ten Sąd podnoszonej w skardze kwestii odstąpienia przez organ od utrwalonej praktyki rozstrzygania spraw. Zdaniem Naczelnego Sądu Administracyjnego, Sąd Wojewódzki wystarczająco wypowiedział się w tym zakresie podając, że nie podziela poglądu wyrażonego w uzasadnieniu wyroku WSA w Warszawie o sygn. akt II SA/Wa 506/21, na który powołała się strona w skardze. Nie ulega wątpliwości, że skład orzekający Sądu Wojewódzkiego nie był związany oceną prawną tego Sądu zaprezentowaną w innej sprawie, nawet w zbliżonym stanie faktycznym. Należy zauważyć, że skarżący kasacyjnie nie wykazał funkcjonowania w tego rodzaju sprawach tzw. "utrwalonej praktyki rozstrzygania spraw" przez organ administracji, o której mowa w art. 8 § 2 k.p.a. Przypomnienia wymaga, że zakaz odstępowania od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, wynikający z art. 8 § 2 k.p.a., dotyczy sytuacji, w których w danej kategorii spraw zostało już wypracowane orzecznictwo, nie budzi ono wątpliwości, linia orzecznicza jest stała, a jeżeli są od niej odstępstwa, to mają one charakter wyjątkowy i nie wpływają na utrwalony pogląd. Skarżący kasacyjnie powołał się jedynie na dwa "korzystne" dla siebie orzeczenia sądów administracyjnych o sygn. akt II SA/Wa 506/21 i II SA/Wa 474/21, co jednak nie przesądza o utrwalonej już praktyce orzekania w tego rodzaju sprawach. Naczelny Sąd Administracyjny z urzędu posiada wiedzę, że wyroki wydane we wspomnianych sprawach zostały uchylone orzeczeniami Naczelnego Sądu Administracyjnego wydanymi odpowiednio w sprawach o sygn. akt III OSK 984/22 i III OSK 165/22. Podsumowując, zarzut naruszenia art. 141 § 4 p.p.s.a. należało ocenić za niezasadny. Odnosząc się do pozostałych zarzutów naruszenia przepisów postępowania sformułowanych w punktach 1, 2 i 3 petitum skargi kasacyjnej na wstępie należy zaznaczyć, że w ramach tego rodzaju zarzutu niedopuszczalny jest zarzut "niezbadania przez organ wszystkich podstaw prawnych dalszego przetwarzania danych uczestnika w związku z zapytaniem o kredyt", w sytuacji braku zawarcia umowy pożyczki, jak to czyni autor skargi kasacyjnej. Skarżący kasacyjnie może podnosić kwestie niewłaściwego zastosowania w ustalonym stanie faktycznym przepisów prawa materialnego wyłącznie w ramach zarzutów naruszenia prawa materialnego. Tak sformułowany zarzut nie mógł odnieść oczekiwanego skutku. Zdaniem Naczelnego Sądu Administracyjnego, zarzuty wskazane jako naruszenie przepisów art. 7 w zw. z art. 77 § 1 w zw. z art. 80 oraz art. 7b k.p.a. w zw. z art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) nie znajdują usprawiedliwienia w okolicznościach sprawy. Sąd Wojewódzki trafnie uznał, że zebrany materiał dowodowy był wystarczający dla rozstrzygnięcia sprawy, a Prezes Urzędu Ochrony Danych Osobowych dokonał pełnej i właściwej jego oceny w odniesieniu do przesłanek zgodności przetwarzania danych osobowych z prawem, o których mowa w art. 6 RODO, nawiązując także do tych przepisów prawa, które powoływało BIK w swoich wyjaśnieniach. Nie można zgodzić się ze skarżącym kasacyjnie, że organ nie rozważył dostatecznie charakteru, zakresu oraz celów gospodarczo-ekonomicznych dla jakich zostało powołane Biuro Informacji Kredytowej S.A. Z zaskarżonej decyzji wynika, że organ uwzględnił w swoich rozważaniach cel działalności i charakter instytucji BIK utworzonej, jak podał, na podstawie art. 105 ust. 4 Prawa bankowego. Należy zaznaczyć, że istotnym i podstawowym ustaleniem w sprawie było to, że z klientem SKOK-u M.T. nie doszło do zawarcia umowy. Natomiast odrębną kwestią jest analiza podstaw prawnych pozostawania jego danych w Biurze Informacji Kredytowej w sytuacja gdy nie doszło do zawarcia umowy kredytu. Ten ostatni aspekt nie stanowi jednak elementu ustalania stanu faktycznego sprawy. Zasadnym jest zwrócenie uwagi, że w postępowaniu administracyjnym, którego przedmiotem jest sprawa zgodności z prawem przetwarzania danych osobowych badaniu podlega kwestia, czy administrator przetwarza dane osobowe w sposób prawidłowy i zgodny z przepisami o ochronie danych osobowych. Reguły przetwarzania danych osobowych zostały ujęte w art. 5 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ("RODO"). Według art. 5 ust. 2 RODO, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Oznacza to, że m.in. BIK, jako administrator danych osobowych wnioskodawcy żądającego ich usunięcia, zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) był zobowiązany do wykazania przed organem nadzoru, że dane osobowe przetwarzane są zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 pkt a) oraz, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasady minimalizacji przetwarzania danych (art. 5 ust. 1 lit. c RODO). Wbrew twierdzeniom skarżącego kasacyjnie, organ nadzoru właściwie oparł się na wyjaśnieniach administratora danych i rzetelnie je ocenił. Nie był przy tym zobowiązany do "poszukiwania" za przetwarzającego dane administratora podstaw i przesłanek dalszego przetwarzania danych osobowych uczestnika, poza tymi, które wykazał w swoim stanowisku BIK. Ostatecznie organ nie uznał powołanych przez BIK podstaw za wystarczające do uznania, że przetwarzanie danych osobowych uczestnika, w stanie faktycznym sprawy, odbywa się zgodnie prawem. Odnosząc się do zarzutu naruszenia art. 7b k.p.a. należy wskazać, że organ prawidłowo wyjaśnił, że zwrócenie się do Komisji Nadzoru Finansowego nie przyczyniłoby się do szybszego załatwienia sprawy, gdyż sprawa nie ma charakteru skomplikowanego. Dodatkowo podkreślił, co słusznie zaakceptował Sąd Wojewódzki, że to Prezes UODO, a nie Komisja Nadzoru Finansowego, jest organem administracyjnym oceniającym prawidłowość stosowania przepisów o ochronie danych osobowych przez administratorów danych. Uzyskanie stanowiska Komisji Nadzoru Finansowego w tym zakresie nie było niezbędne oraz nie byłoby dla organu wiążące. Zgodzić należy się z Sądem I instancji, że Prezes UODO jest wyspecjalizowanym i niezależnym organem w sprawach ochrony danych osobowych, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Zadania i uprawnienia organu nadzoru regulują przepisy art. 57 i art. 58 RODO. Jak wynika z ich treści, na podstawie art. 58 ust. 2 lit. c RODO, Prezesowi UODO przysługuje samodzielne i odrębne uprawnienie naprawcze w postaci nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy tego rozporządzenia. Stanowisko o niezależności organu znajduje potwierdzenie również w art. 51 RODO oraz w pkt 117 preambuły RODO, w którym wskazano, że zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych, uprawnionych do wypełniania zadań i wykonywania uprawnień w sposób całkowicie niezależny. Niewątpliwie na tle uregulowań RODO, Prezes UODO w zakresie przypisanych mu kompetencji jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa stosowanych w postępowaniu w zakresie dotyczącym ochrony danych osobowych. Wobec powyższego za uprawnione należało uznać stanowisko Sądu Wojewódzkiego, że Prezes UODO w tego rodzaju sprawie nie miał obowiązku zwracania się do Komisji Nadzoru Finansowego, ani w zakresie dokonywanych ustaleń stanu faktycznego, ani w zakresie wyjaśnień stanu prawnego, na zasadzie art. 7b k.p.a. W tym stanie rzeczy nie można było organowi skutecznie zarzucić naruszenia art. 7b k.p.a. Wbrew zarzutowi skarżącego kasacyjnie, organ nie uchybił regułom postępowania poprzez zaniechanie oceny Rekomendacji Komisji Nadzoru Finansowego. Trafne jest stanowisko organu oraz Sądu Wojewódzkiego, że powoływane Rekomendacje należą do nienormatywnych form działania administracji i nie były wiążące dla organu nadzoru. Rekomendacje nie są źródłem powszechnie obowiązujących przepisów prawa. Naczelny Sąd Administracyjny dostrzega, że skarżący kasacyjnie powołuje Rekomendacje jako regulacje bezwzględnie go obwiązujące, nakładające m.in. egzekwowalny przez Komisję wymóg gromadzenia danych w celach budowania modeli scoringowych, niezbędnych dla oceny zdolności kredytowej oraz ryzyka kredytowego oraz stabilności i bezpieczeństwa sektora bankowego. Jednakże elementy te nie są wartościami nadrzędnymi wobec prawa osoby fizycznej do ochrony danych osobowych. Prawo do ochrony danych osobowych jest prawem gwarantowanym w unijnym porządku prawnym (RODO) oraz w prawie krajowym, znajdującym oparcie również w art. 51 Konstytucji RP. Dodatkowo Naczelny Sąd Administracyjny stwierdził, że wnoszący skargę kasacyjną nie wykazał, zgodnie z art. 174 pkt 2 p.p.s.a., w jaki sposób zarzucane uchybienia przepisom postępowania mogły mieć istotny wpływ na wynik sprawy. Dla wypełnienia tego obowiązku nie jest wystarczające zawarcie w skardze kasacyjnej formuły o naruszeniu przepisów postępowania mającym wpływ na wynik sprawy. Dla skuteczności tego rodzaju zarzutów konieczne jest uzasadnienie wpływu zarzucanego naruszenia na wynik sprawy. Przechodząc do zarzutów naruszenia prawa materialnego należy podkreślić, że ich istota sprowadza się do kwestionowania stanowiska Sądu Wojewódzkiego o braku podstaw prawnych do przetwarzania przez BIK danych osobowych uczestnika w zakresie wynikającym z zapytania kredytowego, niezakończonego zawarciem umowy kredytowej z instytucją upoważnioną do udzielania kredytów (SKOK). Przypomnieć trzeba, że przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO, który określa ogólne materialne przesłanki przetwarzania danych osobowych. Zgodnie z tą regulacją, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Wymienione przesłanki mają charakter generalny i odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one, co do zasady, równoprawne, mają charakter autonomiczny i niezależny, co z oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Zdaniem Naczelnego Sądu Administracyjnego, trafne zajął stanowisko Sąd Wojewódzki, że w okolicznościach faktycznych sprawy nie wstąpiła żadna z przesłanek umożliwiająca uznanie za legalne dalsze przetwarzanie przez BIK danych osobowych uczestnika, a na które powołuje się BIK wskazując art. 6 ust. 1 lit. c, e i f RODO. Zasadny jest wniosek, że skoro nie doszło do zawarcia umowy kredytowej to ocena zdolności kredytowej uczestnika i analiza ryzyka kredytowego zostały już dokonane (zrealizowane). W konsekwencji cel przetwarzania danych, dla którego zostały one zgromadzone został tym samym osiągnięty, a zatem odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez stronę skarżącą kasacyjnie. Nie mógł więc odnieść oczekiwanego skutku zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 ustawy Prawo bankowe. Prawidłowo Sąd Wojewódzki rozstrzygnął, że nie stanowi w tej sprawie przesłanki zgodnego z prawem przetwarzania danych wnioskodawcy art. 6 ust. 1 lit. c RODO. Interpretacja użytego w art. 6 ust. 1 lit. c RODO wyrażenia "obowiązku prawnego", który ciąży na administratorze, wymaga takiego przyjęcia jego rozumienia, zgodnie z którym, obowiązkiem prawnym jest tylko taki obowiązek, który wynika wyraźnie z przepisów ustawy lub z przepisów do ustawy wykonawczych. Skarżący kasacyjnie powołuje się na przepisy Prawa bankowego. Jednak w sytuacji w której nie doszło do zawarcia przez uczestnika umowy o kredyt z instytucją SKOK-u nie mogą one stanowić podstawy legalności dalszego przetwarzania danych osobowych niedoszłego klienta, rozumianej jako wypełnienie obowiązku prawnego ciążącego na administratorze. Przepis art. 105 ust. 4 Prawa bankowego stanowi o tym, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: 1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013; 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; 3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim; 4) instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (...); 5) jednostce zarządzającej systemem ochrony lub bankowi zrzeszającemu (...). Zasadnie podkreślił Sąd Wojewódzki, że art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy. Należy zaznaczyć, że ww. przepis jest podstawą kompetencyjną do utworzenia instytucji do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiącej tajemnicę bankową, którą jest BIK. W ten sposób wyznaczony został zarazem zakres działania BIK. Przepis ten jest również szczególną normą materialną zezwalającą na jednostronne ograniczanie praw jednostki w zakresie jej danych osobowych. Nie wynika jednak z niego pełna, szczególna podstawa prawna przetwarzania danych osobowych, gdyż zakres upoważnienia do przetwarzania danych osobowych określony został ogólnie przez wskazanie, że chodzi o dane objęte tajemnicą bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa we wskazanym akcie normatywnym. Dopiero z dalszych regulacji wynika szczegółowy zakres danych osobowych, które mogą być legalnie przetwarzane przez banki oraz inne podmioty rynku okołobankowego, w tym instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego, jaką jest BIK. Zakres danych, które mogą być przetwarzane, zasady i czas przetwarzania wynikają z przepisów art. 105a Prawa bankowego. Przepisy art. 105a ust. 1 i 1a wskazują cele, którym może służyć przetwarzanie danych osobowych, przepis ust. 1b kategorie danych osobowych, które mogą być przetwarzane, przepis ust. 2 – przesłankę legalizującą przetwarzanie danych w postaci zgody osoby fizycznej, przepis ust. 3 – warunki przetwarzania danych osobowych bez zgody osoby fizycznej, przepis ust. 4 – warunki i cele przetwarzania danych osobowych bez zgody osoby fizycznej po wygaśnięciu zobowiązania, przepis ust. 5 – czas przetwarzania danych osobowych, a przepis ust. 6 – zakres przetwarzanych danych obejmujący dane o osobie fizycznej oraz o treści zobowiązania. Naczelny Sąd Administracyjny stoi na stanowisku, że wszelkie regulacje znoszące ochronę danych osobowych muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Istotne jest podkreślenie, że analizowane przepisy odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, instytucji ustawowo upoważnionych do udzielania kredytów, czy instytucji pożyczkowych z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Zatem uprawniony jest wniosek, że w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskującego o zawarcie umowy produktowej w zakresie zapytania kredytowego przez SKOK, a następczo BIK. Bank ani podmiot, o którym mowa w art. 105 ust. 4 Prawa bankowego nie ma "obowiązku prawnego" w rozumieniu art. 6 ust. 1 lit. c RODO przetwarzania danych osobowych klienta, z którym nie doszło do nawiązania relacji prawnej zobowiązaniowej, gdyż przepisy art. 105a ust. 1-6 Prawa bankowego nie zawierają upoważnienia dla administratora do przetwarzania danych osobowych takiego klienta, ograniczając swój zakres wyłącznie do klientów, którzy zawarli umowę z bankiem. Z kolei art. 70 Prawa bankowego, który powołano również w zarzutach skargi kasacyjnej, stanowi wyłącznie o badaniu przez banki zdolności kredytowej, zdefiniowanej w ust. 1 jako "zdolność kredytobiorcy do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie" i nie odnosi się do zagadnień dotyczących przetwarzania danych osobowych. Brak jest również uzasadnienia dla przyjęcia, jak to słusznie ocenił Sąd Wojewódzki, że BIK jest uprawnione do dalszego przetwarzania danych osobowych M.T. w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Zgodnie z tym przepisem, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego (ust. 1). Wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej (ust. 2). Jak wynika z treści przywołanych norm, powstanie obowiązku o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia wniosku o przedłożenie wyjaśnień dotyczących dokonanej oceny zdolności kredytowej. Tymczasem akta sprawy nie potwierdzają, aby został złożony taki wniosek. Uczestnik zwrócił się natomiast o usunięcie jego danych osobowych związanych z zapytaniem kredytowym i w związku z odmową w tym zakresie podjął działania przed Prezesem UODO. Przyjąć więc należy, że nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej. Z powyższych przyczyn jako niezasadny należało również ocenić zarzut ujęty w pkt 2 zarzutów zgłoszonych na podstawie z art. 174 pkt 1 p.p.s.a. dotyczący naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz w zw. z art. 105a Prawa bankowego. Nie mogły odnieść skutku również pozostałe zarzuty naruszenia prawa materialnego wskazane jako naruszenie art. 6 ust. 1 lit. e i f RODO. Naczelny Sąd Administracyjny, odnosząc się do zarzutu naruszenia art. 6 ust. 1 lit. f RODO w nawiązaniu do wskazywanej przez stronę skarżącą potrzeby przechowywania danych zawartych w zapytaniu kredytowym osoby, z którą nie zawarto umowy kredytowej, na wypadek ewentualnych przyszłych roszczeń wskazuje, że art. 6 ust. 1 lit. f RODO stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu ww. przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony przyszłych, hipotetycznych roszczeń. Z akt sprawy nie wynika, aby wnioskodawca, który zażądał usunięcia danych w zakresie zapytania kredytowego, miał jakiekolwiek roszczenie na drodze cywilnoprawnej do instytucji BIK. Natomiast jednoznacznie zażądał usunięcia swoich danych osobowych, powołując się na ich przetwarzanie bez podstawy prawnej. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f RODO mógłby stanowić podstawę do dalszego przetwarzania danych, na wypadek ewentualnego dochodzenia roszczeń. W toku postępowania administracyjnego jak i w skardze nie wykazano - jakich ewentualnie roszczeń mógłby dochodzić podmiot, który zażądał usunięcia swoich danych w zakresie zapytań kredytowych, z którym nie zawarto umowy kredytowej. Sąd w składzie rozpoznającym sprawę podziela wyrażony już w orzecznictwie pogląd, zgodnie z którym, niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (por. wyrok Naczelnego Sądu Administracyjnego z 1 października 2025 r. sygn. akt III OSK 872/22). Ponownie należy wskazać, że Rekomendacje S, W i T Komisji Nadzoru Finansowego na które powołuje się autor skargi kasacyjnej w związku z wykazywanym naruszeniem art. 6 ust. 1 lit. f RODO nie stanowią obowiązujących przepisów prawa, zatem nie mogły mieć znaczenia dla rozstrzygnięcia podjętego w niniejszej sprawie. Rekomendacje nie odnoszą się do przetwarzania danych osobowych w zakresie zapytań kredytowych w sytuacji, gdy umowa pomiędzy bankiem a potencjalnym klientem nie została zawarta. Nie mógł zostać uznany za skuteczny zarzut naruszenia art. 6 ust. 1 lit. f RODO w związku z uznaniem przez Sąd Wojewódzki, że nie zachodzi podstawa prawna do przetwarzania danych osobowych uczestnika postępowania z uwagi na konieczność "zapewnienia rozliczalności działań skarżącego". Rację ma Sąd I instancji, że przetwarzanie danych w celu udokumentowania prawidłowości ich przetwarzania nie stanowi celu, który wynika z prawnie uzasadnionego interesu, o którym mowa w art. 6 ust. 1 lit. f RODO. W ocenie Naczelnego Sądu Administracyjnego, skarżący kasacyjnie nie zdołał również wykazać, że w sprawie doszło do naruszenia art. 6 ust. 1 lit. e RODO w zakresie w jakim organ nie uznał tej normy za podstawę legalnego przetwarzania danych osobowych wnioskodawcy. Jak trafnie zauważył Sąd Wojewódzki, przesłanka ujęta w tej regulacji nie była przedmiotem analizy organu w zaskarżonej decyzji. Ponadto, w ocenie Naczelnego Sądu Administracyjnego, nie można uznać aby w rozpoznawanej sprawie BIK realizowało zadania w interesie publicznym lub działał w ramach sprawowania władzy publicznej, do których to przesłanek odwołuje się art. 6 ust. 3 RODO. Podsumowując, skoro wnioskodawca zażądał respektowania prawa do ochrony danych osobowych wynikających z RODO, a administrator danych osobowych jakim jest BIK nie wykazało podstawy legalizującej czynności przetwarzania danych, to Prezes UODO miał podstawę nakazać BIK zaprzestania przetwarzania danych osobowych uczestnika w zakresie jego wniosku kredytowego oraz ich usunięcia, co prawidłowo ocenił Sąd Wojewódzki w kwestionowanym wyroku. Z powyższych względów, działając na podstawie art. 184 p.p.s.a., Naczelny Sąd Administracyjny oddalił skargę kasacyjną.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 12.07.2026. · Źródło