II SA/Wa 686/25
WyrokWSA w Warszawie2026-01-16
Skład orzekający: Łukasz Krzycki, Andrzej Cichoń, Ewa Radziszewska-Krupa
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy bank i Biuro Informacji Kredytowej (BIK) mają podstawę prawną do przetwarzania danych osobowych osoby, która złożyła wniosek o kredyt, ale umowa nie została zawarta, w celach oceny zdolności kredytowej, analizy ryzyka kredytowego, przeciwdziałania praniu pieniędzy, finansowaniu terroryzmu, ustalania lub obrony roszczeń, czy wyjaśniania oceny zdolności kredytowej?Ratio decidendi
Sąd uznał, że bank i BIK nie mają podstawy prawnej do dalszego przetwarzania danych osobowych wnioskodawcy po tym, jak wniosek o kredyt nie zakończył się zawarciem umowy. Cele przetwarzania danych, takie jak ocena zdolności kredytowej i analiza ryzyka, zostały zrealizowane w momencie rozpatrzenia wniosku. Brak zawarcia umowy oznacza, że nie powstał stosunek zobowiązaniowy, który uzasadniałby dalsze przetwarzanie danych na podstawie przepisów Prawa bankowego i RODO. Sąd podzielił stanowisko NSA, że rekomendacje KNF nie są źródłem prawa powszechnie obowiązującego, a prawo do ochrony danych osobowych jest nadrzędne wobec potrzeb sektora bankowego.Stan faktyczny
Wnioskodawca złożył skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych, która nakazała bankowi i BIK usunięcie danych osobowych wnioskodawcy wynikających z zapytania kredytowego, które nie zakończyło się zawarciem umowy. Bank i BIK argumentowały, że przetwarzanie danych było uzasadnione różnymi celami, w tym oceną zdolności kredytowej, analizą ryzyka, przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. Sąd rozpoznał sprawę w trybie uproszczonym, analizując zarzuty skargi banku dotyczące naruszenia przepisów postępowania i prawa materialnego.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki (spr.), Sędzia WSA Andrzej Cichoń, Sędzia WSA Ewa Radziszewska-Krupa, , po rozpoznaniu w trybie uproszczonym w dniu 16 stycznia 2026 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2025 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Zaskarżoną decyzją – przywołując art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO", wobec skargi [...] (dalej "Wnioskodawca") na nieprawidłowości w przetwarzaniu jego danych osobowych, zgromadzonych wobec zapytania kredytowego z [...] czerwca 2022 r., (dalej, jako "Zapytanie"), które nie zakończyło się zawarciem umowy kredytowej, przez [...] S.A. (dalej: "Bank"), w tym w Biurze Informacji Kredytowej S.A., (dalej "BIK") - nakazano Bankowi (w pkt 1 orzeczenia) i BIK (w pkt 2) usunięcie danych osobowych Wnioskodawcy, wynikających z Zapytania.
W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:
- do organu wpłynęła skarga Wnioskodawcy,
- w toku postępowania ustalono następujący stan faktyczny:
- Wnioskodawca - w inicjującej postępowanie skardze – wskazał, że [...] lipca 2022 r. zwrócił się do Banku z żądaniem usunięcia - z baz Banku oraz BIK - informacji o Zapytaniu; pismami z [...] oraz [...] sierpnia 2022 r. Bank odpowiedział na powyższe żądanie; odmówił usunięcia danych, dotyczących wniosku kredytowego z [...] czerwca 2022 r.; wobec tego Wnioskodawca skierował skargę do organu – aby nakazano Bankowi i BIK usunięcie dotyczących Zapytania danych (tak: skarga Wnioskodawcy wraz z załącznikami),
- Bank wskazał:
dane osobowe pozyskano bezpośrednio od Wnioskodawcy – w związku ze złożeniem wniosku o zawarcie umowy kredytu, co nie zakończyło się zawarciem umowy (tak: wyjaśnienia z [...] października 2022 r. z załącznikami);
obecnie przetwarza dane w związku z wnioskiem kredytowym z [...] czerwca 2022 r. w celu spełnienia obowiązków, które wynikają z przepisów prawa (art. 6 ust. 1 lit. c rozporządzenia RODO) oraz prawnie uzasadnionych interesów administratora (art. 6 ust. 1 lit. f RODO):
a) realizacji wymogów ostrożnościowych - oceny ogólnej ekspozycji oraz ryzyka ekspozycji Banku, wynikających z rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.Urz. UE L 2013 Nr 176, str. 1), zwanego dalej "CRR" (art. 6 ust. 1 lit. c RODO); w przepisach nie sprecyzowano terminu przetwarzania danych w tym celu; dlatego Bank stosuje termin zgodnie z zasadami celowości oraz minimalizacji danych, wynikających z art. 5 ust. 1. lit. b i c RODO; będzie przetwarzać dane w tym celu przez 6 lat od momentu rozpatrzenia wniosku, aby wywiązać się z obowiązków zarządzania ekspozycjami kredytowymi;
b) wykonywania obowiązków, związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, (art. 6 ust. 1. lit. c RODO); zgodnie z art. 34 ust. 3 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2023 r. poz. 1124), zwanej dalej "ustawą AML", instytucje obowiązane dokumentują zastosowane środki bezpieczeństwa finansowego i przechowują je (zgodnie z art. 49 ust. 1 i 2) przez okres 5 lat. (zgodnie z ust. 1 – licząc od dnia zakończenia stosunków gospodarczych z klientem, zgodnie z ust. 2 - licząc od dnia przeprowadzenia analiz, o których mowa w art. 34 ust. 3 ustawy AML);
c) analizy (indywidualnego i portfelowego) ryzyka kredytowego (art. 105a ust.1-1c ustawy - Prawo bankowe w zw. art. 6 pkt 1. lit. c RODO); w przepisach nie sprecyzowano terminu przetwarzania danych w tym celu; dlatego Bank stosuje terminy zgodnie z zasadami celowości oraz minimalizacji danych, wynikających z art. 5 ust. 1. lit. b i c RODO; będzie przetwarzać dane w tym celu przez okres 3 lat od momentu rozpatrzenia wniosku; termin taki pozwala analitykom kredytowym na rzetelne ocenienie wniosku i zabezpieczenie interesów klienta, jak też Banku; ponadto dany przepis nie jest jedynym źródłem obowiązków w zakresie oceny zdolności kredytowej; osobną podstawą przetwarzania danych w tym przypadku są przepisy CRR;
d) realizacji prawa do wyjaśnienia oceny zdolności kredytowej - na podstawie art. 70a ustawy – Prawo bankowe (art. 6 pkt 1. lit. c RODO); Bank nie ogranicza terminu w realizacji tego prawa; termin ten nie jest jednak dłuższy, niż przetwarzania danych w celu obrony roszczeń - w oparciu o terminy przedawnienia roszczeń, na podstawie art. 118 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. z 2024 r. poz. 1061), zwanej dalej "K.c."; termin ten wynosi w tym wypadku 6 lat od dnia rozpatrzenia wniosku kredytowego;
e) rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń - podstawą prawną jest realizacja prawnie uzasadnionego interesu Banku (art. 6 pkt 1. lit. f RODO); w zakresie zapytań kredytowych, które nie zakończyły się umową kredytową; Bank ustala terminy przetwarzania danych w oparciu terminy przedawnienia roszczeń na podstawie art. 118 K.c.; termin ten wynosi w tym wypadku 6 lat od dnia rozpatrzenia wniosku (tak: wyjaśnienia z [...] października 2022 r. z załącznikami);
decyzję dla Zapytania wydano tego samego ([...] czerwca 2022 r.); Bank wysłał zapytania do BIK w celu przeprowadzenia oceny zdolności kredytowej i analizy ryzyka kredytowego - na podstawie art. 70 ust. 1 w zw. z art. 105 ust. 4 oraz 105a ust. 1 ustawy - Prawo bankowe; dane osobowe Wnioskodawcy przekazano do BIK na podstawie umowy - z [...] sierpnia 2016 r. zawartej pomiędzy Bankiem a BIK; Bank przekazuje zapytania kredytowe do BIK w trybie on-line; w związku z tym data Zapytania jest terminem przekazania danych do BIK; wskazano, jaki zakres danych osobowych przekazał Bank do BIK (tak: wyjaśnienia z [...] października 2022 r. z załącznikami oraz wyjaśnienia z [...] marca 2023 r.);
Wnioskodawca wystąpił do Banku – pismem z [...] lipca 2022 r. - o usunięcie swoich danych z baz danych BIK oraz Banku; w odpowiedzi z [...] oraz [...] sierpnia 2022 r. Bank przedstawił mu podstawy prawne i cele, z powodu których przetwarza jego dane, oraz poinformował o powodach niezrealizowania wniosku; oprócz powyższego wniosku, Wnioskodawca nie wystąpił wobec Banku z nowym, dodatkowych roszczeniem, reklamację, wnioskiem lub odwołaniem (tak: wyjaśnienia z [...] marca 2023 r);
- dalej zreferowano wskazane przez BIK podstawy przetwarzania danych osobowych Wnioskodawcy oraz przyjęte przez BIK reguły realizacji tego procesu (terminy przetwarzania danych),
- przepisem, stanowiącym podstawę uprawnienia administratorów do przetwarzania zwykłych danych osób fizycznych, jest art. 6 ust. 1 RODO; zgodnie z nim, przetwarzanie danych dopuszczono tylko w razie spełnienia jednej ze wskazanych w tym przepisie przesłanek; ich katalog jest zamknięty; każda ma charakter autonomiczny i niezależny; proces przetwarzania danych osobowych musi być dodatkowo zgodny z zasadami, ustanowionymi w art. 5 ust. 1 RODO – m.in. ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO); wedle tych zasad dane osobowe można zbierać w konkretnych, wyraźnych i prawnie uzasadnionych celach; nie można ich przetwarzać dalej, w sposób niezgodny z tymi celami; proces przetwarzania danych osobowych musi być zaś adekwatny, stosowny oraz ograniczony do tego, co niezbędne - do celów, w których są przetwarzane,
- co do zasady, podstawą prawną przetwarzania danych osobowych klientów przez Bank i BIK może być obecnie art. 6 ust. 1 lit. f RODO - gdy przetwarzanie jest niezbędne do celów, wynikających z realizowanych przez administratora prawnie uzasadnionych interesów,
- BIK jest instytucją, utworzoną na podstawie art. 105 ust. 4 ustawy - Prawo bankowe; stanowi on, że banki mogą - wspólnie z bankowymi izbami gospodarczymi - utworzyć instytucje, upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji, stanowiących tajemnicę bankową,
- zgodnie z art. 105a ust. 1 ustawy - Prawo bankowe, banki, a także instytucje utworzone na podstawie art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje w zakresie, dotyczącym osób fizycznych – z zastrzeżeniem art. 104, 105 i art. 106-106d danego aktu - w celu oceny zdolności kredytowej i analizy ryzyka kredytowego; zgodnie zaś z art. 105a ust. 4 wskazanej ustawy, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje, dotyczące osoby fizycznej, po wygaśnięciu zobowiązania, wynikającego z umowy zawartej z bankiem bez zgody osoby, której informacje dotyczą – do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR; stosownie zaś do art. 105a ust. 5 ustawy - Prawo bankowe, przetwarzanie stanowiących tajemnicę bankową informacji w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od wygaśnięcia zobowiązania zaś - przypadku, o którym mowa w ust. 4 - przez 12 lat od wygaśnięcia zobowiązania,
- wedle art. 70 ust. 1 ustawy - Prawo bankowe, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy; przez zdolność kredytową rozumie się możliwość spłaty zaciągniętego kredytu wraz z odsetkami w określonych w umowie terminach,
- Wnioskodawca – [...] czerwca 2022 r. - złożył do Banku wniosek kredytowy; w związku z tym Bank oraz BIK - na podstawie art. 105a ust. 1 w zw. z art. 70 ust. 1 ustawy - Prawo bankowe były uprawnione do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej; nie doszło jednak do zawarcia umowy pożyczki pomiędzy Wnioskodawcą a Bankiem; w związku z tym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych Wnioskodawcy przez Bank oraz BIK; przesłanki zawarte w art. 105a ustawy - Prawo bankowe dotyczą bowiem przetwarzania objętych tajemnicą bankową informacji w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu; pomiędzy Bankiem a Wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który - stosownie do art. 105a ust. 1-6 ustawy - Prawo bankowe - dawałby podstawę do dalszego przetwarzania danych osobowych; celem przetwarzania danych osobowych Wnioskodawcy była ocena zdolności kredytowej i analizy ryzyka kredytowego; w związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego, wskazany cel przetwarzania danych osobowych zrealizowano; brak więc podstaw prawnych do kontunuowania procesu,
- niewłaściwie BIK i Bank wskazały podstawy przetwarzania danych Wnioskodawcy - powołując się na Rekomendację T KNF, dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi; Bank był uprawniony do przetwarzania danych osobowych Wnioskodawcy w celu oceny zdolności kredytowej; nie doszło jednak do zawarcia umowy pomiędzy Wnioskodawcą a Bankiem; w związku z tym odpadła przesłanka, legalizująca dalsze przetwarzanie jego danych osobowych przez Bank; celem przetwarzania danych osobowych Wnioskodawcy była ocena zdolności kredytowej i analiza ryzyka kredytowego; w związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego, wskazany cel przetwarzania danych osobowych zrealizowano; wobec tego nie ma podstaw prawnych do kontynuowania tego procesu; organ podziela pogląd, wyrażony w wyroku Naczelnego Sądu Administracyjnego z 13 lutego 2025 r. (sygn. akt III OSK 6563/21, dostępny na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query – w Centralnej Bazie Orzeczeń Sądów Administracyjnych, zwanej dalej "CBOSA"); przywołano jego szerokie fragmenty,
- nie można również uznać za podstawę przetwarzania danych osobowych Wnioskodawcy wskazanych przez Bank i BIK celów statystycznych i analiz – w tym stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR; powołany przez Bank i BIK art. 105a ust. 4 ustawy - Prawo bankowe daje podstawy do przetwarzania - dotyczących osoby fizycznej, stanowiących tajemnicę bankową - informacji po wygaśnięciu zobowiązania, wynikającego z umowy zawartej z bankiem bez zgody osoby, której te informacje dotyczą; w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy Wnioskodawcą a Bankiem; nie powstał zatem żaden stosunek zobowiązaniowy, o którym mowa we wskazanym przepisie; w powołanych przez Bank i BIK przepisach CRR nie wykazano konkretnej przesłanki, uprawniającej BIK do wykorzystania danych w zakresie zapytań kredytowych - niezakończonych zawarciem umowy - do indywidualnej oceny zdolności kredytowej; tym bardziej do wykorzystania tego rodzaju danych osobowych do modeli scoringowych; w CRR zawarto konkretyzację danych, które mogą używać instytucje kredytowe oraz firmy inwestycyjne przy realizacji wymogów ostrożnościowych; nie uczyniono natomiast tego samego – na gruncie danego rozporządzenia - w przypadku zapytań kredytowych - niezakończonych zawarciem umowy; nie sposób przez to uznać, że przewidziano tam podstawy prawne do przetwarzania danych w nich zawartych; co wynika z przepisów CRR, instytucję kredytową obowiązano do zbierania informacji, przydatnych do skutecznego zarządzania ryzykiem; nie oznacza to, że gromadzenie danych w systemach ratingowych może odbywać się z naruszeniem przepisów w zakresie ochrony danych osobowych,
- Bank i BIK, wskazały również, jako cel przetwarzania danych osobowych Wnioskodawcy, przeciwdziałanie przestępstwom oraz wykonywanie obowiązków w zakresie określonym w przepisach AML; zgodnie z brzmieniem art. 106d ustawy - Prawo bankowe, banki i instytucje utworzone na mocy art. 105 ust. 4, mogą przetwarzać i wzajemnie udostępniać informacje - w tym objęte tajemnicą bankową - w przypadkach:
1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;
2) uzasadnionych podejrzeń popełnienia przestępstw, dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których przepisach o kredycie konsumenckim, i ich klientów - w celu i zakresie, niezbędnym do zapobiegania tym przestępstwom;
3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
- tak ust. 1; podmioty te mogą przetwarzać i wzajemnie udostępniać informacje, w tym objęte tajemnicą bankową oraz dotyczące wyroków skazujących, w przypadkach przestępstw, dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w przepisach o kredycie konsumenckim, i ich klientów - w celu i zakresie, niezbędnym do zapobiegania tym przestępstwom (tak: ust. 2),
- zgodnie z art. 33 ust. 1 ustawy AML, instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego; rozpoznają one ryzyko prania pieniędzy oraz finansowania terroryzmu, związane ze stosunkami gospodarczymi lub z transakcją okazjonalną, oraz oceniają poziom rozpoznanego ryzyka (tak ust. 2); środki te stosują natomiast w zakresie i z intensywnością, uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu - związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę (tak: ust. 4); na podstawie art. 35 ust. 2 ustawy AML, obowiązane instytucje stosują środki bezpieczeństwa finansowego również wobec klientów, z którymi utrzymują stosunki gospodarcze - z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu - w szczególności gdy: 1) doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych; 2) doszło do zmiany uprzednio ustalonych danych, dotyczących klienta lub beneficjenta rzeczywistego; 3) obowiązana instytucja winna była w ciągu danego roku kalendarzowego zobowiązana - na podstawie przepisów - skontaktować się z klientem w celu weryfikacji informacji, dotyczących beneficjentów rzeczywistych, w szczególności gdy obowiązek taki wynikał z przepisów o wymianie informacji podatkowych z innymi państwami; zgodnie z art. 34 ust. 3 ustawy AML, instytucje obowiązane dokumentują zastosowane środki bezpieczeństwa finansowego oraz wyniki bieżącej analizy przeprowadzanych transakcji; na żądanie organów, o których mowa w art. 130, instytucje obowiązane wykazują, że - przy uwzględnieniu poziomu rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną - zastosowały odpowiednie środki bezpieczeństwa finansowego; na podstawie art. 49 ust. 2 ustawy AML instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3, przez 5 lat - licząc od dnia ich przeprowadzenia,
- zebrany w sprawie materiał dowodowy nie wykazał, aby Bank i BIK mogły przetwarzać dane osobowe Wnioskodawcy, dotyczące Zapytania, na podstawie art. 106d ustawy - Prawo bankowe – w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków, w zakresie określonym w ustawie AML; w toku prowadzonego postępowania nie wykazały bowiem, aby zaszła którakolwiek z określonych w tych przepisach przesłanek - w szczególności, aby wystąpiły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nałożono na nie obowiązek, określony w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3,
- co do powołanego przez Bank, i BIK celu ustalenia, dochodzenia lub obrony roszczeń wskazano: zebrany w postępowaniu materiał dowodowy nie wykazał, aby Wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec Banku czy BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego osobowych dla celów dowodowych - w związku z dochodzeniem roszczenia; Bank i BIK nie wskazały także na istnienie roszczeń, których dochodzą od Wnioskodawcy; przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, gdy - celem wynikającym z realizowanych przez administratora prawnie uzasadnionych interesów - jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym - nie sytuacji, gdy dane przetwarza się w celu zabezpieczenia przed ewentualnym roszczeniem,
- nie ma ponadto uzasadnienia dla przyjęcia, że Bank i BIK są uprawnione do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku, wynikającego z art. 70a ust. 1 i ust. 2 ustawy - Prawo bankowe - w brzmieniu tych przepisów, obowiązującym w dacie pozyskania danych, wynikających z Zapytania; stosownie do art. 70a ust. 1 banki – na wniosek ubiegającej się o kredyt osoby fizycznej - przekazują w formie pisemnej wyjaśnienie, dotyczące dokonanej oceny zdolności kredytowej wnioskującego; stosownie zaś do art. 70a ust. 2 wyjaśnienie obejmuje informacje na temat czynników - w tym danych osobowych wnioskującego - które miały wpływ na ocenę zdolności kredytowej; należy podzielić stanowisko doktryny, zgodnie z którym: "Jeśli zaś bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF) - nie udzieli kredytu, zatem nie dojdzie do zawarcia umowy kredytu, stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy" (B. Bajor [w:] L. Kociucki, J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 70(a)); w art. 70a ustawy - Prawo bankowe - w dacie pozyskania danych osobowych, wynikających z Zapytania – nie przewidziano żadnego terminu na złożenie wniosku o udzielenie informacji, dotyczących odmowy udzielenia kredytu; nie oznacza to jednak, że dane osobowe można przetwarzać bezterminowo; byłoby to sprzeczne z zasadą ograniczenia przechowywania – wedle art. 5 ust. 1 lit. e RODO,
- powstanie obowiązku, o którym mowa w art. 70a ust. 1 ustawy - Prawo bankowe - w brzmieniu na dzień złożonego Zapytania - uzależniono ponadto od złożenia stosownego wniosku przez ubiegającą się o kredyt osobę; w niniejszej sprawie ustalono, że Wnioskodawca - w związku z Zapytaniem - ubiegał się o zawarcie z Bankiem umowy kredytowej; jego wniosek nie zakończył się jednak jej zawarciem; skierował następnie do Banku żądanie usunięcia swoich przetwarzanych w BIK danych osobowych; proces przetwarzania danych osobowych - związanych z Zapytaniem - zakwestionował następnie w niniejszym postępowaniu - domagając się ochrony danych osobowych; uwzględnienie żądania Wnioskodawcy - usunięcia przedmiotowych danych - będzie skutkować brakiem możliwości udzielenia informacji, wskazanych w art. 70a ust. 1 i 2 ustawy - Prawo bankowe; Wnioskodawca - żądając usunięcia danych - musi się z tym liczyć; należy więc uznać, że nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa we wskazanym przepisie; tym samym nie można uznać, aby stanowił on podstawę przetwarzania danych osobowych Wnioskodawcy,
- wobec powyższego nie ma celu, uzasadniającego przetwarzanie zawartych w Zapytaniu danych osobowych Wnioskodawcy - zarówno przez Bank, jak i przez BIK; Bank - w związku z pozyskaniem danych osobowych Wnioskodawcy w celu oceny zdolności kredytowej - stał się administratorem tych danych osobowych; BIK stał się natomiast administratorem danych osobowych Wnioskodawcy z uwagi na ich przekazanie przez Bank; w związku z tym Bank oraz BIK są odrębnymi administratorami; każdy z nich przetwarza bowiem dane osobowe Wnioskodawcy we własnych celach i samodzielnie ustala sposoby ich przetwarzania; w odniesieniu do kwestionowanego przez Wnioskodawcę przetwarzania jego danych osobowych przez Bank i BIK nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanek - stanowiących o legalności tego procesu; dlatego - korzystając z uprawnienia, przewidzianego w art. 58 ust. 2 lit. c RODO - nakazano zarówno Bankowi i BIK usunięcie wynikających z Zapytania danych osobowych Wnioskodawcy.
W skardze Banku – gdzie zakwestionowano decyzje w całości – zarzucono jej wydanie z naruszeniem przepisów:
- postępowania:
- art. 7, 77 § 1 i art. 80 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2024 r., poz. 572 ze zm.), zwanej dalej "K.p.a.", polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie - wobec uznaniu, że Bank i BIK nie dysponują przesłankami, legalizującymi przetwarzanie danych osobowych Wnioskodawcy, mimo że jest to niezbędne do realizacji ciążących na Banku i BIK obowiązków prawnych oraz ich prawnie uzasadnionych interesów;
- art. 7b K.p.a., polegające na nie zwróceniu się do KNF - jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych – oraz do Generalnego Inspektora Informacji Finansowej - jako organu właściwego w sprawach związanych z m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu - w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych,
- prawa materialnego:
- art. 6 ust. 1 lit. c RODO, w zw. z art. 39 ust. 1 wobec z art. 34 ust. 1, art. 35 ust. 1, art. 36 ust. 1, oraz 49 ustawy AML - poprzez niewłaściwe zastosowanie; polegało ono na przyjęciu, że na Banku nie ciążą obowiązki, związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem; przepisami tymi nałożono tymczasem na banki i BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego, poprzez przeprowadzenie szczegółowego badania na temat klientów – w tym przyszłych - jak i badania powiązań kapitałowo-osobowych - także w zakresie danych, dostarczanych przez Wnioskodawcę;
- art. 6 ust. 1 lit. c RODO, w zw. z art. 105 ust 4 i art. 105a ust. 1 ustawy - Prawo bankowe, poprzez ich błędną wykładnię; przyjęto, że Bank jest jedynie obowiązany do oceny zdolności kredytowej klientów; z przepisu tego wynika także powinność analizy ryzyka kredytowego;
- art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust 4 ustawy - Prawo bankowe, poprzez ich błędną wykładnię; przyjęto, że Bank nie legitymuje się przesłanką do przetwarzania danych; z przepisu tego wynika tymczasem obowiązek przetwarzania danych - w tym z zapytań kredytowych - w zakresie, w jakim informacje te są potrzebne bankom do wykonywania czynności bankowych - w tym oceny zdolności kredytowej i analizy ryzyka kredytowego;
- art. 6 ust. 1 lit. c RODO, w zw. z art. 144 ust. 1 lit. d, art. 145, 147 ust. 5 lit. b, art. 170 ust. 3 lit. a oraz ust. 4 lit. a, art. 171 ust. 2 i art. 179 ust. 1 lit. a CRR - poprzez ich błędną wykładnię; przyjęto, że na Banku nie ciążą obowiązki, związane z analizą ryzyka kredytowego, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem;
- art. 6 ust. 1 lit. c RODO, w zw. z art. 70a ustawy - Prawo bankowe – poprzez niewłaściwe zastosowanie; skutkowało to przyjęciem, że Bank może dokonać wyjaśnienia dokonanej oceny zdolności kredytowej wnioskującego bez otrzymanych i przetwarzanych danych osobowych klienta - tylko wtedy, gdy zawarł on umowę z bankiem;
- art. 6 ust. 1 lit. c RODO, w zw. z art. 106d ustawy - Prawo bankowe – poprzez niewłaściwe zastosowanie; skutkowało to przyjęciem, że Bank nie jest uprawniony do przetwarzania danych - w tym osobowych, zawartych we wnioskach kredytowych – w celu wypełnienia wynikających z ustawy - Prawo bankowe obowiązków - gdy wykazuje on cel przetwarzania danych osobowych, polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie - w celu wykrycia nieścisłości oraz powzięcia informacji, mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d ustawy - Prawo bankowe;
- art. 6 ust. 1 lit. c RODO, w zw. z Rekomendacjami KNF S, W i T, polegające na ich niewłaściwym zastosowaniu - przyjęciu, że Bank nie legitymują się przesłanką przetwarzania danych wobec tych Rekomendacji; nałożono nimi natomiast na banki - w konsekwencji także na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą służące bankom modele scoringowe - określone wymagania; są one następnie egzekwowane przez KNF - na podstawie bezwzględnie obowiązujących przepisów.
W szerokim uzasadnieniu skargi rozwinięto przywołane wyżej zarzuty.
Wniesiono o uchylenie zaskarżonej decyzji w całości.
W odpowiedzi na skargi organ wniósł o ich oddalenie, podtrzymując dotychczasową argumentację.
Skargę rozpoznano w trybie uproszczonym, wobec treści art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r., poz. 935 ze zm.).
Sąd zważył, co następuje.
Skarga w zakresie, gdzie - w jej pkt 1 - nałożono na Bank określony obowiązek nie zasługuje na uwzględnienie, gdyż - wydając kwestionowany akt w dane części - nie naruszono ani przepisów postępowania, co do powinności właściwego wyjaśnienia sprawy (w tym uzyskania stanowisk właściwych organów), czy uzasadnienia orzeczenia, ani też przepisów prawa materialnego, zakreślających ramy przetwarzania danych osobowych oraz zakres kompetencji wyspecjalizowanego organu administracji dla stosowania środków naprawczych – tu: nakaz usunięcia danych osobowych przetwarzanych bez podstawy prawnej, na podstawie art. 58 ust. 2 lit. c RODO.
W sprawie bezsporne są jej istotne okoliczności faktyczne - w zakresie, gdzie skierowana do wyspecjalizowanego organu skarga dotyczyła przetwarzania m.in. przez Bank danych Wnioskodawcy – osoby, z którą nie zawarto umowy kredytowej - zgromadzonych wobec rozpatrywania wniosku kredytowego.
Spór w sprawie sprowadza się do tego, czy - w takim stanie faktycznym - istnieje podstawa formalnoprawna do przetwarzania danych osobowych - upatrywana przez Bank w przesłankach, wymienionych w art. 6 ust. 1 lit. c RODO.
W uzasadnieniu oskarżonego aktu organ administracji trafnie jednak wskazał oraz zaprezentował właściwą interpretację regulacji normatywnych, zakreślających ramy możliwości przetwarzania danych osobowych - w przypadku, jak w rozpoznawanej sprawie (gdy nie doszło do zawarcia umowy kredytowej). Wobec szerokiego zreferowania argumentacji organu jej powtarzanie byłoby bezzasadne. Sąd przyjmuje ją za własną.
Odnosząc się do szczegółowych zarzutów skargi należy odnotować, że Naczelny Sąd Administracyjny w analogicznej sprawie, wobec w istocie tożsamych zarzutów, oddalił - wyrokiem z 1 października 2025 r. (sygn. akt III OSK 1552/22 dostępny w CBOSA) - skargę kasacyjną. W uzasadnieniu orzeczenia zawarto m.in. następujące stwierdzenia i oceny:
- "[...] Prezes UODO jest wyspecjalizowanym organem w sprawach ochrony danych osobowych, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu [...] jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. W sprawie niniejszej [...] nie miał zatem obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego, ani w zakresie wyjaśnień stanu prawnego.";
- "[...] przepisy prawa bankowego przewidują w art. 105 ust. 4 Prawa bankowego podmiot, który może przetwarzać dane osobowe uzyskiwane w trakcie świadczenia usług bankowych, zaś w art. 105a ust. 1-6 Prawa bankowego regulują szczegółowe warunki, zakres, okoliczności i czas przetwarzania tych danych osobowych. [...] przepisy te odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Interpretacja tych przepisów z zastosowaniem reguł wykładni językowej prowadzić musi do wniosku, iż nie jest dopuszczalne przetwarzanie danych osobowych klientów banków, z którymi nie doszło do nawiązania przez bank stosunku zobowiązaniowego. Bank ani podmiot, o którym mowa w art. 105 ust. 4 Prawa bankowego nie ma "obowiązku prawnego" w rozumieniu art. 6 ust. 1 lit. c RODO przetwarzania danych osobowych klienta banku, z którym nie doszło do nawiązania relacji prawnej zobowiązaniowej, gdyż przepisy art. 105a ust. 1-6 Prawa bankowego nie zawierają upoważnienia dla administratora do przetwarzania danych osobowych takiego klienta, ograniczając swój zakres wyłącznie do klientów, którzy zawarli umowę z bankiem.",
- "[...] przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. [...] wszelkie regulacje znoszące ochronę danych osobowych muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Zatem w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskującego o zawarcie i wykonanie umowy produktowej w zakresie zapytania kredytowego przez [...]., a następczo BIK. Brak jest również uzasadnienia dla przyjęcia, że [...]. jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Wnioskodawczyni w niniejszej sprawie wykazała w sposób jednoznaczny wolę usunięcia danych, a zatem przyjąć należy, że nie jest zainteresowana realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego.",
- "[...] skoro nie doszło do zawarcia umowy kredytowej nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniach kredytowych, został tym samym osiągnięty. Odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawczyni przez [...]. oraz BIK., które to przetwarzanie miało na celu ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy [...]. a wnioskodawczynią nie nawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-5 Prawa bankowego dawałby podstawę do dalszego przetwarzania jej danych osobowych [...] ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez [...]. Dalsze przetwarzanie danych (uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane.",
- "[...] art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem [...]. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Nadto przepis art. 105 ust. 4 ww. ustawy nie jest przepisem samodzielnie wprowadzającym kolejny podmiot, który ma dostęp do danych stanowiących tajemnicę bankową.",
- "Z art. 70a ust. 1c [Prawa bankowego] wynika, że wnioskujący o kredyt ma rok od dnia otrzymania oceny zdolności kredytowej, aby złożyć wniosek by otrzymać taką ocenę w formie pisemnej. Tym samym banki i instytucje ustawowo upoważnione do udzielania kredytów mogą przez ten okres przetwarzać dane wnioskodawcy, w zakresie jaki jest niezbędny, dla udostępnienia mu w formie pisemnej oceny jego zdolności kredytowej.",
- "Za niezasadne uznać należy argumenty dotyczące naruszenia art. 6 ust. 1 lit. c RODO w związku z przepisami ustawy AML oraz przepisami rozporządzenia CRR. [...] przedmiotem oceny organu a następnie Sądu I instancji była zgodność z prawem przetwarzania danych osobowych w świetle uprawnień przyznanych skarżącym kasacyjnie przez ustawę - Prawo bankowe, a nie sposobu funkcjonowania mechanizmów kredytowych i ustalenia, jakie dane są potrzebne [...] i BIK dla zapewnienia prawidłowego działania tych mechanizmów. Również odwoływanie się do konieczności przetwarzania danych osobowych wnioskodawcy w zakresie pytań kredytowych po dokonaniu weryfikacji zdolności kredytowej dla potrzeb tworzenia modeli scoringowych jest nieuprawnione.",
- "Odnosząc się z kolei do zarzutów w zakresie naruszenia art. 6 ust. 1 lit. f ODO w zw. z art. 1 ust. 2 pkt 1 oraz art. 2 ustawy o nadzorze nad rynkiem finansowym w związku z art. 137 ust. 1 pkt 5 Prawa bankowego w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego wyjaśnić należy, że źródłami powszechnie obowiązującego prawa w Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (art. 87 ust. 1 Konstytucji RP z dnia 2 kwietnia 1997 r.; Dz.U. Nr 78, poz. 483 ze zm.).
Nie ulega zatem wątpliwości, że rekomendacje KNF nie są aktami prawa powszechnie obowiązującego. Nie mieszczą się bowiem w zamkniętym katalogu źródeł powszechnie obowiązującego prawa Rzeczypospolitej Polskiej, określonym w art. 87 Konstytucji RP. Ponadto wydaje je organ, który nie ma stosownego umocowania konstytucyjnego.",
- "Naczelny Sąd Administracyjny docenia i rozumie kwestie związane z bezpieczeństwem depozytów, stabilnością sektora bankowego, koniecznością prowadzenia analiz statystycznych, dokonaniem oceny zdolności kredytowej oraz ryzyka kredytowego, tworzenia baz danych (także korzystania z zewnętrznych baz danych np. [...]), czy też budową modeli scoringowych. Elementy te nie są jednak wartościami nadrzędnymi wobec prawa osoby fizycznej do ochrony danych osobowych. Prawo do ochrony danych osobowych jest prawem gwarantowanym zarówno w krajowym, jak i unijnym porządku prawnym. Na płaszczyźnie krajowej regulacji prawo do ochrony danych osobowych znajduje oparcie w przepisie art. 51 Konstytucji RP. Przepis ten określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych, w kwestiach szczegółowych odsyłając do regulacji ustawowej.",
- "Zarzut naruszenia art. 106d Prawa bankowego [...] z treści tego przepisu wynika, że dopuszcza on przetwarzanie danych osobowych w przypadku uzasadnionego podejrzenia łamania prawa lub działania na szkodę banku. W niniejszej sprawie takie okoliczności nie wystąpiły.",
- "Jak zostało wykazane, skarżący kasacyjnie nie posiada wobec wnioskodawczyni żadnego aktywnego roszczenia cywilnoprawnego stąd powoływanie się na przepisy regulujące jego przedawnienie - art. 117 § 2 i 21, 118 i 119 Kodeksu cywilnego - jest z założenia nie skuteczne.".
Sąd w tym składzie uwzględnił także, że analogiczne stanowisko wyrażono obecnie w szeregu innych orzeczeń Sądu II. instancji, zaś jego linia orzecznicza jest aktualnie jednolita (patrz m.in. wyroki w sprawach o sygn. akt III OSK 165/22, 984/22, 1522/22, 1877/22 oraz 2636/22 – dostępne w CBOSA). Miał też na uwadze regułę pewności prawa, wyprowadzaną z konstytucyjnej zasady demokratycznego państwa prawa – tak art. 2 Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz.U. Nr 78 poz. 483 ze zm.) - materializującej się m.in. w jednolitości orzecznictwa sądów w tożsamych sprawach. Stronami postępowań były przy tym także osoby, żądające usunięcia swoich danych - wobec nie zawarcia z bankami umów kredytu. Sąd podziela wobec tego w pełni sformułowane w uzasadnieniu przywołanego wcześniej wyroku oceny prawne. Przy tym zawarte tam rozważanie, dotyczące powinności zasięgnięcia oceny KNF należy odnieść odpowiednio do Generalnego Inspektora Informacji Finansowej.
Czyni to zarzuty skargi – zarówno, co do naruszenia przepisów prawa materialnego, jak i postępowania - chybionymi.
Sąd więc - wobec zarzutów skargi, ani też z urzędu - nie dopatrzył się w zaskarżonym akcie – co do orzeczenia w pkt 1 - wad, które przemawiałoby za jego wyeliminowaniem z obrotu prawnego.
Należy jedynie odnotować, że - wedle prezentowanego aktualnie stanowiska judykatury - przeszkodą dla dalszego przetwarzania danych osobowych klientów banków, w razie nie zawarcia umowy kredytowej - dla celu oceny ryzyka kredytowego, w tym tworzenia modeli scoringowych, w kontekście doskonalenia metod ostrożnościowych - jest w istocie obecne brzmienie przepisów ustawy - Prawo bankowe (w szczególności art. 105a), które należy wykładać zgodnie z wyrażonymi wprost w Konstytucji RP zasadami ochrony danych osobowych. Ewentualne więc poszerzenie zakresu przetwarzania tych danych, jeżeli faktycznie wynika – jak wychodzi strona skarżąca - z potrzeby realizacji nadrzędnego interesu publicznego, jako dobra chronionego także ustawą zasadniczą, wymaga wobec tego stosownych zmian regulacji na szczeblu ustawowym. Jest więc wyłącznie postulatem do prawodawcy - de lege ferenda.
Przesłanką oddalenia skargi Banku, co do pkt 2 zakwestionowanego orzeczenia, był brak po jego stronie interesu prawnego - w rozumieniu art. 50 § 1 ustawy – Prawo o postępowaniu przed sądami administracyjnymi – dla zakwestionowania danego aktu w danym zakresie. Nałożono nim - w pkt 2 - stosowne powinności na inny podmiot (tu: BIK). Wedle ustaleń organu, niekwestionowanych zresztą w skardze, BIK jest odrębnym administratorem danych osobowych Wnioskodawcy, w rozumieniu art. 7 pkt 7 RODO - wykorzystuje je, wedle samodzielnie zdefiniowanych celów. Sam interes faktyczny Banku, wynikający z rzeczywistych korzyści, wiążących się z realizacją umowy pomiędzy Bankiem i BIK (stosunek obligacyjny), nie może stanowić przesłanki dla ochrony interesu Banku w postępowaniu przed sądem administracyjnym – co do powinności, nałożonych decyzją na BIK. Uprawnienie do ochrony interesów Banku w danym zakresie przed sądem administracyjnym nie wynika także z odrębnych regulacji szczególnych.
Z przytoczonych wyżej przyczyn - na podstawie art. 151 ustawy - Prawo o postępowaniu przed sądami administracyjnymi - orzeczono jak w sentencji.
-----------------------
19
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 19.07.2026. · Źródło