Jak wskazał Trybunał Sprawiedliwości Unii Europejskiej, biuro informacji kredytowej przetwarza dane osobowe na podstawie art. 6 ust. 1 lit. f RODO. To zaś rodzi konieczność przeprowadzenia testu równowagi RODO. Do wyroku TSUE odniósł się także Prezes UODO, wskazując na konieczność doprecyzowania krajowych przepisów.
Opracowanie: Michał Kowalski
Przypomnijmy, że Trybunał Sprawiedliwości UE, orzekając w grudniu 2023 r. w sprawie Schufa Holding, wskazał, że prywatne biura informacji kredytowej w ramach scoringu dokonują profilowania. Więcej na temat tego aspektu wyroku Trybunału Sprawiedliwości UE w sprawie Schufa Holding w artykule: Scoring kredytowy to profilowanie według RODO
Jednocześnie z wyroku TSUE wynika, że prywatne biura informacji kredytowej powinny opierać przetwarzanie danych osobowych kredytobiorców na podstawie art. 6 ust. 1 lit. f RODO, tj. w realizacji swojego prawnie uzasadnionego interesu. Nakłada to na takie biuro obowiązek dokonania testu równowagi RODO pomiędzy interesem gospodarczym biura a prawami i wolnościami osób fizycznych.
W teście równowagi należy brać pod uwagę w szczególności:
racjonalne oczekiwania osoby, której dane dotyczą, że jej dane mogą być przetwarzane przez danego administratora
zakres operacji przetwarzania i jej wpływ na tę osobę.
Ponadto zgodnie z regułą minimalizmu dane osobowe przetwarzane przez BIK muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Trybunał poruszył także kwestię okresu przechowywania danych osobowych przez biuro informacji kredytowej – w przypadku pozyskania danych osobowych z publicznych rejestrów. Jak wskazał TSUE, biuro może przetwarzać także dane osobowe dotyczące przyznanego zwolnienia z pozostałej części długu. Takie przetwarzanie w ocenie Trybunału stanowi istotną ingerencję w prawa podstawowe osoby, której dane dotyczą (są to bowiem informacje świadczące negatywnie o jej zdolności kredytowej). Im dłuższy okres przechowywania, tym ingerencja ta jest silniejsza.
W ocenie TSUE przechowywanie informacji o zwolnieniu z długu po upływie okresu przechowywania w publicznym rejestrze (na mocy przepisów krajowych) jest nieuzasadnione.
Do orzeczenia TSUE odniósł się także Prezes Urzędu Ochrony Danych Osobowych. Stwierdził przede wszystkim, że polskie przepisy nie zakazują pozyskiwania z publicznych rejestrów danych osobowych dłużnika na potrzeby oceny jego zdolności kredytowej. Art. 105 ust. 4 Prawa bankowego uprawnia do funkcjonowania takich podmiotów jak Biuro Informacji Kredytowej i Bankowy Rejestr prowadzony przez Związek Banków Polskich. Brak jest jednak regulacji prawnej dotyczącej przypadku, w którym informacja o dłużniku została wykreślona z rejestru publicznego, ale nadal podlega przetwarzaniu przez biuro informacji kredytowej.
Kwestia ta, zdaniem organu nadzorczego, powinna zostać doprecyzowana w ustawie.
Biuletyn UODO (maj 2024 r.)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
