Kwestią wskazaną w tytule zajął się Naczelny Sąd Administracyjny w wyroku o sygnaturze I OSK 2567/17.
Klient chciał sprawdzić, czy może uzyskać kredyt w Banku. Zadał zatem trzy pytania związane z zaciągnięciem kredytu oraz dwa pytania o zasady zarządzania klientem. System elektroniczny Banku zapisał te zapytania i od tego momentu Klient zaczął figurować w bazie Banku, a jego dane osobowe zaczęły być przetwarzane przez Biuro Informacji Kredytowej. I to wszystko pomimo tego, że kredytu mu ostatecznie nie udzielono.
Klient wniósł do Urzędu Ochrony Danych Osobowych (ówcześnie GIODO) skargę na odmowę usunięcia jego danych osobowych przetwarzanych przez Bank. W treści skargi zaznaczył, że domaga się usunięcia archiwalnych zapytań, a także zaprzestania przetwarzania danych osobowych niezwiązanych z produktem finansowym, który posiada w Banku.
W odpowiedzi Bank argumentował, że przetwarza dane osobowe skarżącego nie tylko, by ocenić zdolność kredytową, ale również w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych. Ponadto wskazał, iż cele statystyczne przetwarzania danych osobowych muszą być rozumiane szeroko.
UODO (ówcześnie jeszcze Generalny Inspektor) wydał decyzję, w której nakazał zaprzestania tych praktyk. Podkreślił, że podstawa prawna wskazywana przez Bank, tj. art. 105 ust. 4 Prawa bankowego, jedynie ogólnie reguluje prawo banków do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych. Z tego przepisu nie wynika umocowanie Biura Informacji Kredytowej do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt. Uznanie takich operacji przetwarzania danych osobowych za legalne wymagałoby podstawy prawnej. Nie stanowią natomiast takiej podstawy regulaminy ani umowy zawierane pomiędzy poszczególnymi instytucjami a bankami.
Do Wojewódzkiego Sądu Administracyjnego decyzję tę zaskarżył Bank, jak i Biuro Informacji Kredytowej, ale Sąd podzielił stanowisko UODO. W wyroku z 12 lipca 2017 roku WSA stwierdził, że ustawa o ochronie danych osobowych (ówcześnie obowiązująca) w art. 1 zaznacza, że przetwarzanie danych osobowych może mieć miejsce jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych nie powinna być oderwana od przepisów służących ochronie innych wartości.
Naczelny Sąd Administracyjny przyznał rację UODO, skarga kasacyjna BIK nie została uwzględniona. W wyroku z 27 sierpnia 2019 roku NSA stwierdził, że niesłusznie skarżący powołał się na zasadę zaufania do organu państwa, w tym wypadku do GIODO, który skontrolował wcześniej system elektroniczny BIK. Brak zalecenia zmian przez GIODO, było błędne, i nie powodowało konieczności trzymania się przez GIODO tego błędnego stanowiska. Brak zbadania przez inspektora niezbędności użycia systemu profilowania klientów nie ma znaczenia dla sprawy, gdyż przetwarzanie danych klienta było nielegalne. Prawo bankowe nie legalizuje zbierania danych klientów na przyszłość w jakimkolwiek modelu elektronicznym.