przejdź
przejdź
  2. Serwis Prawny
  3. Prawa konsumenta
  4. Jakie dane może udostępniać biuro informacji kredytowej?

Jakie dane może udostępniać biuro informacji kredytowej?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Biuro Informacji Kredytowej (BIK) to instytucja gromadząca dane o historii kredytowej klientów z banków, SKOK-ów oraz innych firm pożyczkowych. Zawiera między innymi informacje o spłacanych kredytach, pożyczkach czy limitach w kontach. Służy przede wszystkim do oceny wiarygodności finansowej, a także ma za zadanie przyczyniać się do zmniejszenia ryzyka wyłudzeń. 

Nie wszystkie dane jednak mogą być przetwarzane. Informacje finansowe, niezależnie czy mowa o osobach fizycznych, czy przedsiębiorstwach, stanowią dane wrażliwe lub tajemnice przedsiębiorstwa. Stąd też BIK przy ich udostępnianiu musi być bardzo ostrożne. Aby ograniczyć możliwość pobierania od klientów informacji, które w zasadzie nie są niezbędne instytucjom finansowym, ustawodawca zdecydował się dokładnie określić jakie dane może udostępniać BIK. Jak to wygląda?

Biuro Informacji Kredytowej – podstawa prawna funkcjonowania

Biuro Informacji Kredytowej funkcjonuje na podstawie art. 105 ust. 4 Ustawy z 29 sierpnia 1997 roku – Prawo bankowe (dalej: Prawo bankowe). Przepis ten umożliwia bankom tworzenie instytucji uprawnionych do gromadzenia, przetwarzania i udostępniania informacji objętych tajemnicą bankową. Co istotne, regulacja ta ma charakter szczególny – stanowi bowiem wyjątek od zasady poufności danych finansowych. Cel przetwarzania nie może być jednak dowolny – może ono odbywać się wyłącznie w celach oceny zdolności kredytowej oraz analizy ryzyka kredytowego.

W praktyce oznacza to, że BIK nie jest „zwykłym” podmiotem gospodarczym operującym danymi, a instytucją o funkcji systemowej, której działalność jest ściśle podporządkowana ustawowo określonym regulacjom z jednoznacznie wyznaczonym zadaniem. Jednocześnie brak jednoznacznego określenia formy prawnej takich instytucji nie oznacza dowolności ich działania. Wręcz przeciwnie, zakres ich kompetencji wyznacza wyłącznie ustawa. (por. wyrok Naczelnego Sądu Administracyjnego z 18 września 2003 roku, sygn. akt: II SA 2199/01).

Jakie dane może udostępniać biuro informacji kredytowej?

Zapoznając się ze wspomnianym art. 105 ust. 4 Prawa bankowego, dochodzimy do wniosku, iż BIK może przetwarzać wyłącznie dane stanowiące tajemnicę bankową. Co więcej, nie każda informacja o charakterze finansowym mieści się w tym zakresie. Jak czytamy, mogą to być jedynie informacje stanowiące tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych. Oznacza to, że dane te muszą:

  • zostać pozyskane w związku z konkretną czynnością bankową;
  • pozostawać w funkcjonalnym związku z tą czynnością;
  • być niezbędne do realizacji celów określonych w ustawie.

Dane, o których mowa, dodatkowo zostały ograniczone przez art. 105a, gdyż przepis ten wskazuje katalog informacji, które bank lub inna instytucja finansowa może pozyskiwać. Zasadą generalną jest jednak, że podmioty te mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych – również stanowiących tajemnicę bankową – pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.

Ponadto powyższe decyzje mogą być podejmowane wyłącznie na podstawie niezbędnych do tego danych. Informacje, jakie mogą być przetwarzane, to przede wszystkim:

  • dane identyfikacyjne klienta (np. imię, nazwisko, PESEL, wiek, płeć, stan cywilny);
  • informacje zawodowe (miejsce pracy, zawód, wykształcenie, formę zatrudnienia, sytuację finansową, w tym dochody i wydatki);
  • dane dotyczące zobowiązań (kredyty, pożyczki, limity, warunki spłaty);
  • historia spłat;
  • informacje o opóźnieniach i zaległościach.

Biuro Informacji Kredytowej nie ma natomiast prawa do informacji, które – choć dotyczą sytuacji finansowej klienta – nie są związane z czynnością bankową.

Zakaz rozszerzającej interpretacji podstawy prawnej działania BIK – wyrok NSA

Zakres danych, które mogą być przetwarzane Biuro Informacji Kredytowej, nie jest do końca jednoznaczny. Co prawda art. 105a ust. 1b Prawa bankowego wskazuje katalog danych, jakie mogą być pobierane od klientów, nie jest to jednak katalog zamknięty, co daje instytucjom finansowym furtkę do rozszerzającej wykładni powyższych przepisów.

Na szczęście tą tematyką zajął się Naczelny Sąd Administracyjny w wyroku z 2 grudnia 2025 roku (sygn. akt: III OSK 1109/25), w którym jednoznacznie wskazał, że przepisy stanowiące podstawę działania BIK muszą być interpretowane ściśle (literalnie). Wynika to z faktu, że ingerują one w konstytucyjne prawo do prywatności oraz autonomii informacyjnej jednostki.

Sąd podkreślił kilka kluczowych kwestii, przede wszystkim:

  • BIK może przetwarzać wyłącznie dane pozyskane przy okazji czynności bankowych;
  • niedopuszczalne jest „uzupełnianie” podstawy prawnej poprzez inne przepisy, np. ogólną klauzulę uzasadnionego interesu z unijnym Ogólnym Rozporządzeniem o Ochronie Danych (RODO);
  • każda wątpliwość co do zakresu uprawnienia powinna być rozstrzygana na korzyść ochrony danych osobowych;
  • informacja o upadłości konsumenckiej – jako niezwiązana bezpośrednio z czynnością bankową – nie może być przetwarzana przez BIK.

Naczelny Sąd Administracyjny wskazał, że przepisy będące podstawą działania Biura Informacji Kredytowej odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Interpretacja tych przepisów z zastosowaniem reguł wykładni językowej prowadzić musi do wniosku, iż nie jest dopuszczalne przetwarzanie danych osobowych klientów banków, z którymi nie doszło do nawiązania przez bank stosunku zobowiązaniowego. Tym samym nie jest prawnie dopuszczalne przetwarzanie danych osobowych, które nie zostały pozyskane przy okazji dokonywania konkretnej czynności bankowej.

W ocenie sądu ani bank, ani podmiot, o którym mowa w art. 105 ust. 4 Prawa bankowego (BIK), nie ma „obowiązku prawnego” w rozumieniu art. 6 ust. 1 lit. c RODO przetwarzania danych osobowych osoby, z którą nie doszło do nawiązania relacji prawnej zobowiązaniowej, a które to dane bank pozyskał samodzielnie z dostępnych źródeł, takich jak Monitor Sądowy i Gospodarczy. Przepisy art. 105a ust. 1–6 Prawa bankowego nie zawierają upoważnienia dla administratora do samodzielnego pozyskania danych osobowych, a następnie przetwarzania danych osobowych opublikowanych w Monitorze Sądowym i Gospodarczym, ograniczając swój zakres wyłącznie do danych osobowych klientów, którzy zawarli umowę z bankiem.

Podmioty uprawnione do otrzymywania danych z Biura Informacji Kredytowej

Istotnym elementem omawianej instytucji jest również zamknięty katalog podmiotów, którym Biuro Informacji Kredytowej może udostępniać dane. W tym przypadku jednak katalog ten ma charakter wyczerpujący i nie może zostać w żaden sposób rozszerzony.

Do podmiotów mogących korzystać z bazy danych BIK należą:

  • banki;
  • inne instytucje ustawowo uprawnione do udzielania kredytów (np. SKOK-i);
  • instytucje pożyczkowe w rozumieniu art. 5 pkt 2a ustawy o kredycie konsumenckim;
  • podmioty analizujące zdolność kredytową konsumenta;
  • jednostki systemów ochrony banków.

Udostępnianie danych poza ten katalog jest co do zasady niedopuszczalne i karalne. Szczególnym przypadkiem jest przekazywanie danych do biur informacji gospodarczej. Jest ono możliwe, ale wyłącznie pod dodatkowymi warunkami. Wymogiem jest uzyskanie wyraźnego upoważnienia osoby, której dane dotyczą, określenie zakresu danych oraz zawarcie odpowiedniej umowy między instytucjami. Oznacza to, że w tym obszarze ustawodawca wprowadził dodatkowe zabezpieczenia wzmacniające kontrolę jednostki nad jej danymi.

Przez jaki czas BIK może przetwarzać dane klientów?

Przepisy art. 105a Prawa bankowego pozwalają przetwarzać dane osobowe w celu oceny zdolności kredytowej i ryzyka kredytowego zarówno przed zawarciem umowy, jak i po jej zakończeniu. Jeśli chodzi o przetwarzanie danych po spłacie lub wygaśnięciu zobowiązania, co do zasady wymagana jest zgoda osoby, której dane dotyczą. Może ona być wyrażona na piśmie lub w formie elektronicznej.

Zgoda nie zawsze jest potrzebna. Ustawa przewiduje dwa przypadki, w których dane mogą być przetwarzane po zakończeniu umowy bez zgody:

  • opóźnienie lub brak spłaty zobowiązania – jeśli klient nie spłacił zobowiązania lub spóźnił się ze spłatą o więcej niż 60 dni, a także minęło co najmniej 30 dni od poinformowania go o zamiarze przetwarzania danych bez zgody, wtedy dane mogą być przetwarzane maksymalnie przez 5 lat od wygaśnięcia zobowiązania;
  • cele statystyczne i modele ryzyka – dane mogą być też wykorzystywane do tworzenia modeli analitycznych (np. oceny ryzyka kredytowego stosowanych przez banki). W takim przypadku okres przetwarzania jest dłuższy i wynosi maksymalnie 12 lat od wygaśnięcia zobowiązania.

Bardzo ważne jest, że osoba, której dane dotyczą, musi być skutecznie poinformowana o zamiarze przetwarzania jej danych bez zgody. Samo wysłanie informacji nie wystarczy – trzeba móc wykazać, że faktycznie do niej dotarła. Potwierdzają to decyzje Prezesa Urzędu Ochrony Danych Osobowych. Wysyłka musi być zatem dokonana za potwierdzeniem odbioru, zwykły list czy e-mail będzie niewystarczający.

Prawo Biura Informacji Kredytowej do profilowania

Wspomniany wyżej przepis uprawnia Biuro Informacji Kredytowej również do profilowania klientów banków oraz innych instytucji finansowych (których obejmuje omawiany przepis). Prawodawca dopuścił automatyczne przetwarzanie danych, w tym profilowanie (np. scoring kredytowy). Jednakże osoba, której to dotyczy, ma prawo do:

  • uzyskania wyjaśnienia, dlaczego podjęto taką decyzję;
  • żądania ponownego rozpatrzenia sprawy przez człowieka, nie przez maszynę (algorytm);
  • przedstawienia własnego stanowiska.

Przy podejmowaniu decyzji automatycznych można wykorzystywać tylko takie dane, które są niezbędne do oceny konkretnego kredytu. Niedopuszczalne jest natomiast opieranie decyzji na tzw. danych wrażliwych (np. dotyczących zdrowia, religii czy poglądów politycznych), zgodnie z przepisami RODO.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Jak zgłoszenie ubezpieczycielowi szkody przerywa b...
Podobne
Czerwiec 2026
23
Wtorek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Wymeldowanie bez zgody osoby zameldowanej - kiedy jest możliwe?
  2. Umowa sprzedaży - wzór z omówieniem
  3. Reklamacja towaru – ile razy sprzedawca może naprawiać wadliwy sprzęt?
  4. Brak odpowiedzi na reklamację - wszystko, co warto wiedzieć
  5. Gwarancja a rękojmia - jakie są różnice?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Prawa konsumenta

Jak zgłoszenie ubezpieczycielowi szkody przerywa bieg przedawnienia?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Rewolucja w PIP od 8 lipca. Nowe narzędzie, które może uchronić pracodawców zatrudniających cudzoziemców.
HR Tech World 2026 – technologie, które zmieniają przyszłość HR
HR Workshop Week 2026: Trzy dni intensywnej praktyki dla branży HR
SEO Vibes Summit ’26 już w maju – ruszyła promocja Last Call na wszystkie bilety!
semKRK#24 BIG już 3 czerwca! Bądź z nami w Starej Zajezdni Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów