sobota, 6 czerwca, 2026
UODO sygnalizuje

Po wyroku TSUE konieczna jest analiza przepisów regulujących działanie biur informacji kredytowej i gospodarczej

W ocenie Prezesa UODO wyrok TSUE w połączonych sprawach C-26/22 i C-64/22 SCHUFA Holding i in. powinien być podstawą do podjęcia rozważań nad zmianą przepisów ustawy Prawo bankowe oraz ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych.

Trybunał Sprawiedliwości Unii Europejskiej w powołanym wyroku, w którym odpowiadał na pytania niemieckiego sądu, odniósł się do funkcjonowania baz danych tworzonych przez prywatne biura informacji kredytowej, a zawierających dane z publicznych rejestrów dłużników i upadłości.

Opis przypadku

Sprawa dotyczy SCHUFA Holding AG – prywatnego biura utworzonego według prawa niemieckiego.

• Rejestrowało i przechowywało ono we własnych bazach danych informacje pochodzące
z publicznych rejestrów, w tym te dotyczące zwolnienia z pozostałej części długu.

• Udostępniało je w razie potrzeby swoim kontrahentom – głównie bankom na potrzeby dokonywania przez nie oceny zdolności kredytowej ich klientów.

• Zebrane informacje były usuwane z upływem trzech lat od ich zarejestrowania, zgodnie z kodeksem postępowania opracowanym w Niemczech przez zrzeszenie biur informacji kredytowej.

Uzyskawszy w ramach postępowań upadłościowych na mocy postanowień sądowych przedterminowe zwolnienie z pozostałej części długu, UF i AB zwrócili się do SCHUFA o usunięcie wpisów dotyczących tych postanowień. SCHUFA odmówiło jednak uwzględnienia ich wniosków, wyjaśniając, że przewidziany w przepisach niemieckich sześciomiesięczny termin na usunięcie tych danych z rejestru publicznego nie ma w tym przypadku zastosowania.

UF i AB wnieśli przeciwko SCHUFA skargi do właściwego organu nadzorczego, które ten oddalił, gdyż w jego ocenie przetwarzanie danych przez SCHUFA było zgodne z prawem.

Niemiecki sąd administracyjny, do którego UF i AB wnieśli skargi na decyzje organu nadzorczego, zwrócił się do TSUE z pytaniami związanymi z wykładnią kilku przepisów RODO. Dotyczyły one m.in. podstaw prawnych przetwarzania danych osobowych przez prywatne biuro informacji kredytowej oraz prawa do usunięcia danych.

Stanowisko TSUE

W wyroku TSUE podniósł, że

• stosownie do brzmienia art. 5 ust. 1 lit. a) RODO dane osobowe muszą  być przetwarzane  zgodnie
z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

• Jednocześnie uznał, że przesłanką legalizującą przetwarzanie danych osobowych przez prywatne biura informacji kredytowej jest art. 6 ust. 1 lit. f) RODO. Zgodnie z tym przepisem przetwarzanie danych osobowych jest zgodne z prawem wyłącznie w przypadku, gdy  – i  w takim zakresie, w jakim – jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Zatem przetwarzając dane na podstawie tego przepisu, należy dokonać wyważenia praw i interesów poszczególnych stron.

W ocenie Trybunału przetwarzanie danych osobowych przez prywatne biura informacji kredytowej służy interesom gospodarczym prywatnego biura, a także realizacji prawnie uzasadnionych interesów jego kontrahentów, którzy mają obowiązek przeprowadzenia oceny zdolności kredytowej osób, z którymi zamierzają zawrzeć umowy związane z kredytem. A zatem służy interesom sektora kredytowego na płaszczyźnie społeczno-gospodarczej.

Jednak żeby przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub osoby trzeciej można było uznać za zgodne z prawem, dane te muszą być absolutnie niezbędne,
a oceny w tym zakresie należy dokonywać łącznie z zasadą minimalizacji ustanowioną w art. 5 ust. 1 lit. c) RODO. Zgodnie z nią dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Z kolei co do warunku, że interesy lub podstawowe prawa i wolności osoby objętej ochroną danych nie mają pierwszeństwa przed prawnie uzasadnionym interesem administratora lub osoby trzeciej, Trybunał wskazał, że dokonując w każdym konkretnym przypadku szczegółowego wyważenia tych praw i interesów, pod uwagę należy brać
• przede wszystkim racjonalne oczekiwania osoby, której dane dotyczą, że jej dane mogą być przetwarzane przez danego administratora
• oraz zakres tej operacji przetwarzania i jej wpływ na tę osobę. Jednocześnie udzielił wskazówek, na jakich etapach i jakie aspekty należy uwzględniać.

TSUE zaznaczył, że przetwarzanie przez prywatne biuro informacji kredytowej danych dotyczących przyznanego zwolnienia z pozostałej części długu, takie jak
• przechowywanie,
• analiza
• i ujawnianie tych danych osobie trzeciej,
stanowi poważną ingerencję w prawa podstawowe osoby, której dane dotyczą. Takie dane są bowiem wykorzystywane jako czynnik wpływający negatywnie na ocenę jej zdolności kredytowej, a zatem stanowią szczególnie chronione informacje na temat jej życia prywatnego, których przetwarzanie może poważnie zaszkodzić jej interesom. Co więcej, im dłuższy jest okres przechowywania takich danych, tym znaczniejszy ma to wpływ na interesy i życie prywatne osoby, której dane dotyczą, i tym bardziej rygorystyczne są wymogi w zakresie zgodności przechowywania tych informacji z prawem.

Trybunał zauważył, że za gromadzenie i przechowywanie danych w krajowych bazach danych odpowiadają państwa członkowskie, dlatego to one powinny również ustalić okres przechowywania tych danych.

W niniejszym przypadku prawodawca krajowy uznał, że po upływie sześciu miesięcy prawa i interesy osoby, której dane dotyczą, mają pierwszeństwo przed prawem i interesem ogółu w zakresie dysponowania tą informacją. Co więcej, zwolnienie z pozostałej części długu ma umożliwić osobie, której takie zwolnienie przyznano, ponowny udział w życiu gospodarczym i ma ono zwykle dla tej osoby znaczenie egzystencjalne. Osiągnięcie tego celu byłoby zaś zagrożone, gdyby odnoszące się do tego zwolnienia informacje mogły być przechowywane i wykorzystywane po ich usunięciu z publicznego rejestru upadłości. W związku z tym Trybunał stwierdził, że interes sektora kredytowego w dysponowaniu informacjami dotyczącymi zwolnienia z pozostałej części długu nie może uzasadniać przechowywania danych po upływie okresu przechowywania w publicznym rejestrze upadłości. Trybunał dodał, że przechowywanie danych przez sześć miesięcy również stanowi  ingerencję w prawa podstawowe osoby, której dane dotyczą. W tym względzie do sądu odsyłającego należy ocena, czy równoległe przechowywanie tych danych przez prywatne biura można uznać za ograniczone do tego, co absolutnie niezbędne.

Wreszcie co do istnienia kodeksu postępowania przewidującego usuwanie danych z upływem trzech lat, Trybunał zauważył, że o ile taki kodeks ma pomagać we właściwym stosowaniu RODO, o tyle przesłanki zgodności z prawem przetwarzania danych osobowych określone w takim kodeksie nie mogą różnić się od przesłanek przewidzianych w RODO. W związku z tym nie można uwzględnić kodeksu postępowania, który prowadzi do oceny innej niż ta wynikająca z zastosowania RODO.

Analizując zaś obowiązki administratora w zakresie usuwania danych osobowych, Trybunał zauważył, po pierwsze, że administrator musi usunąć dane, które poddano niezgodnemu z prawem przetwarzaniu, takiemu jak rozpatrywane w niniejszym przypadku przetwarzanie danych przez biuro po upływie sześciomiesięcznego okresu przechowywania w rejestrze publicznym. Po drugie, nawet gdyby sąd odsyłający doszedł do wniosku, że przetwarzanie danych przez sześć miesięcy jest zgodne z prawem, osobie, której dane dotyczą, przysługuje prawo do wniesienia sprzeciwu wobec takiego przetwarzania oraz do uzyskania usunięcia dotyczących jej danych, jeżeli biuro nie udowodni występowania nadrzędnych prawnie uzasadnionych podstaw, które mają pierwszeństwo przed interesami oraz prawami i wolnościami tej osoby.

Analiza UODO
Analiza tego wyroku TSUE dokonana przez polski organ nadzorczy z uwzględnieniem krajowego systemu prawnego zaowocowała powstaniem opinii dla rządu. UODO zwraca w niej uwagę, że w przepisach prawa polskiego nie ma zakazu pozyskiwania z publicznych rejestrów danych osobowych dłużnika na potrzeby oceny jego zdolności kredytowej.

Zgodnie z art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania określonych informacji podmiotom wymienionym w tym przepisie. Na tej podstawie działają takie instytucje, jak Biuro Informacji Kredytowej oraz Bankowy Rejestr prowadzony przez Związek Banków Polskich. Z kolei art. 28 ust. 1 ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych określa źródła pozyskiwania danych przez biuro informacji gospodarczej.

Powołane przepisy nie regulują jednak sytuacji, której dotyczy omawiany wyrok TSUE. Czyli przypadku, gdy informacja o dłużniku zostaje wykreślona z rejestru publicznego, z którego została pozyskana, ale nadal przetwarzana jest w biurze informacji kredytowej (gospodarczej).

Tymczasem TSUE uznał, że „w tych okolicznościach interes sektora kredytowego w dysponowaniu informacjami dotyczącymi zwolnienia z pozostałej części długu nie może uzasadniać przetwarzania danych osobowych takiego jak rozpatrywane w postępowaniach głównych po upływie okresu przechowywania danych w publicznym rejestrze upadłości, w związku z czym przechowywanie tych danych przez biuro informacji kredytowej nie może być oparte na art. 6 ust. 1 akapit pierwszy lit. f) rozporządzenia 2016/689 w okresie następującym po usunięciu wspomnianych danych z publicznego rejestru upadłości” (pkt 99 orzeczenia).

Zatem w przepisach Prawa bankowego oraz w ustawie o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych należałoby wprowadzić uregulowania odnoszące się do tego,
że dane nie powinny być przetwarzane w biurze informacji kredytowej (gospodarczej) dłużej niż jest to dopuszczalne w rejestrze, z którego zostały pozyskane.

Prezes UODO zwrócił też uwagę na to, że przepisy ustawy Prawo bankowe w ogóle pomijają kwestię dopuszczalnych źródeł pozyskania danych osobowych dotyczących stanu majątkowego osoby wnioskującej o zawarcie umowy z bankiem lub posiadającej już zobowiązanie finansowe.

W opinii organu nadzorczego sfera dotycząca przetwarzania danych przez podmioty gromadzące informacje odnoszące się do zobowiązań kredytowych i pożyczkowych powinna zostać szczegółowo uregulowana przepisami ustawy, gdyż godzi to w prawa i wolności dłużnika związane z zaspokajaniem przez niego podstawowych potrzeb w kontekście badania zdolności do zaciągnięcia zobowiązania.

Podsumowując – w ocenie Prezesa UODO – analizowany wyrok TSUE powinien być podstawą do podjęcia rozważań nad zmianą stosownych przepisów ustawy Prawo bankowe oraz w ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych.

Pobierz PDF

Zobacz również

Dane osobowe w postanowieniu wydanym przez organ administracji publicznej

UODO zachęca jednostki samorządu terytorialnego do opracowania kodeksu postępowania

Biometryczna weryfikacja tożsamości klientów usług płatniczych