Stan faktyczny

W 2024 r. A.K. zwróciła się do BIK o usunięcie informacji o ogłoszeniu jej upadłości konsumenckiej. Do wniosku załączono postanowienie SR w K. z 2021 r. o umorzeniu wszystkich zobowiązań A.K. powstałych przed ogłoszeniem w 2020 r. upadłości bez ustalania planu wierzycieli. BIK odmówił usunięcia danych, informując, że będą one przetwarzane w celu wykonywania czynności bankowych, w szczególności oceny zdolności kredytowej i analizy ryzyka kredytowego, a także w celach statystycznych, przez okres 10 lat od dnia wydania postanowienia o ogłoszeniu upadłości. BIK S.A. wyjaśnił, że przetwarzane dane o upadłości konsumenckiej A.K., obejmujące: imię, nazwisko, PESEL, datę ogłoszenia upadłości konsumenckiej, datę postanowienia o zakończeniu postępowania upadłościowego, zostały pozyskane z Monitora Sądowego i Gospodarczego. Jako podstawę prawną przetwarzania tych danych wskazano art. 6 ust. 1 lit. f RODO w zw. z art. 70 ust. 1 ustawy z 29.8.1997 r. – Prawo bankowe (t.j. Dz.U. z 2026 r. poz. 38; dalej: PrBank), art. 105 ust. 4 PrBank oraz art. 105a ust. 1 PrBank.

A.K. wniosła skargę do Prezesa UODO, który stwierdził, że doszło do przetwarzania danych osobowych bez podstawy prawnej i nakazał BIK usunięcie tych danych. Organ stwierdził, że udostępnianie danych osobowych dotyczących upadłości konsumenckiej w ogólnodostępnych rejestrach lub dziennikach urzędowych nie oznacza dopuszczalności ich pozyskiwania i dalszego przetwarzanie bez podstawy prawnej. Możliwość przetwarzania danych objętych tajemnicą bankową w celu oceny zdolności kredytowej i analizy ryzyka kredytowego została w art. 105a ust. 1-3 PrBank zastrzeżona dla przypadków: istnienia konkretnego zobowiązania pomiędzy bankiem a podmiotem danych; czynności poprzedzających powstanie konkretnego zobowiązania; w pewnych sytuacjach również po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem. Natomiast BIK nie wykazał, że przetwarzanie danych o upadłości konsumenckiej A.K. było związane z konkretną czynnością bankową.

Zarzuty skargi

BIK w skardze do WSA w Warszawie wskazał, że nie jest wyłącznie instytucją gromadzącą dane i informacje objęte tajemnicą bankową służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom. Jest również przedsiębiorcą funkcjonującym w ramach wolnego rynku, co wiąże się z istnieniem interesu prawnego w postaci przetwarzania danych osobowych dla osiągania określonych celów w ramach prowadzonej działalności gospodarczej. Zdaniem skarżącego art. 6 ust. 1 lit. f RODO w żaden sposób nie ogranicza zakresu danych, które mogą być przetwarzane w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Wręcz przeciwnie, przepis ten tworzy podstawę prawną dla przetwarzania przez BIK danych stanowiących tajemnicę bankową, o których mowa w art. 104 ust. 1 PrBank, w zakresie w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta oraz w związku z budowaniem i utrzymaniem modeli scoringowych, a także w celach statystycznych.

Ochrona Danych Osobowych – Sprawdź aktualną listę szkoleń Sprawdź

Orzeczenie WSA

WSA w Warszawie oddalił skargę. W uzasadnieniu wyroku wskazano, że podstawą powstania BIK jest art. 105 ust. 4 PrBank. Zgodnie z tą regulacją, banki wspólnie z bankowymi izbami gospodarczymi mogą utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26.6.2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych oraz zmieniającego rozporządzenie (UE) nr 648/2012 (Dz.Urz. UE L z 2013 r. Nr 176, s. 1).

Sąd stwierdził, że ustawodawca daje tej instytucji prawo gromadzenia, przetwarzania i udostępniania wyłącznie informacji stanowiących tajemnicę bankową i to nie każdą tajemnicę, a tylko w zakresie ograniczonym dalszymi regulacjami art. 105 PrBank. Wbrew twierdzeniom skarżącej forma prowadzenia działalności gospodarczej nie może rozszerzać uprawnień podmiotu ponad te, które zostały nadane w przepisie umożliwiającym powołanie do życia danej instytucji. Prowadząc działalność gospodarczą, BIK może więc działać wyłącznie w ramach przedmiotu oznaczonego w art. 105 ust. 4 PrBank. Sąd stwierdził, że skoro informacja dotycząca upadłości konsumenckiej A.K. nie pozostaje w związku z jakąś czynnością bankową, to BIK nie posiada podstawy prawnej do gromadzenia, przetwarzania i udostępniania tej informacji.

Ochrona danych osobowych i jej ograniczanie

NSA oddalił skargę kasacyjną BIK. W uzasadnieniu wyroku podkreślono, że zakres autonomii informacyjnej jednostki stale zmniejsza się to prawo do ochrony danych osobowych jest gwarantowane zarówno w unijnym, jak krajowym porządku prawnym, stanowiąc element konstytucyjnego prawa do prywatności. Dane osobowe pozwalające zdefiniować sytuację finansową jednostki stanowią współcześnie niezwykle istotny rodzaj informacji, który wywiera znaczący wpływ na życie jednostki, a dysponowanie nimi ingeruje w sposób najsilniejszy z potencjalnie możliwych do wyobrażenia w prawa i wolności jednostki, o których mowa w art. 47 i art. 51 Konstytucji RP. W konsekwencji art. 105 ust. 4 PrBank oraz art. 6 ust. 1 RODO, jako wprowadzających ograniczenia w zakresie konstytucyjnego prawa jednostki, należy interpretować wyłącznie w ramach tzw. wykładni literalnej.

Art. 105 ust. 4 PrBank jest podstawą do utworzenia instytucji do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiącej tajemnicę bankową. Regulacja ta nie tylko określa zakres działania BIK, ale jednocześnie jest szczególną normą materialną zezwalającą na jednostronne ograniczanie praw jednostki w zakresie jej danych osobowych. W ocenie NSA nie wynika jednak z niego pełna, szczególna podstawa prawna przetwarzania danych osobowych, gdyż granice upoważnienia zostały określone dość ogólnie. Zakres danych, które mogą być przetwarzane, warunki, okoliczności i czas przetwarzania wynikają natomiast z art. 105a 1-6 PrBank, przy czym dotyczy on wyłącznie danych osób, które nawiązały z bankiem umowną więź prawną o charakterze zobowiązaniowym. Tym samym nie jest prawnie dopuszczalne przetwarzanie danych osobowych, które nie zostały pozyskane przy okazji dokonywania konkretnej czynności bankowej.

NSA stwierdził też, że podstawą przetwarzania danych osobowych dla celów zarezerwowanych dla działalności BIK, które nie zostały pozyskane przy okazji dokonywania czynności bankowych, nie mógł być przepis art. 6 ust. 1 lit. f RODO. Przepis ten ma szczególny charakter i niedopuszczalne jest jego zastosowanie w celu „uzupełnienia” innej regulacji prawnej dopuszczającej przetwarzanie danych osobowych określających sytuację finansową jednostki. Jeśli BIK w ramach wolności działalności gospodarczej podejmować będzie się innej aktywności w sektorze gospodarczym, a jej prowadzenie będzie związane z przetwarzaniem danych osobowych, poza zakresem i celami wyznaczonymi przez przepisy art. 105 ust. 4 i 105a ust. 4 PrBank, to dla dokonywania tego rodzaju czynności konieczne będzie legitymowanie się wyraźną podstawą ustawową do przetwarzania danych osobowych.

Wyrok NSA z 2.12.2025 r., III OSK 1109/25 , Legalis

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Kup online, korzystaj od razu! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →