Oddajemy w Państwa ręce newsletter, w którym chcemy zwrócić Państwa uwagę na dwa wyroki Naczelnego Sądu Administracyjnego, które zapadły w ostatnim czasie w kontekście przechowywania danych osobowych.
- Wyrok Naczelnego Sądu Administracyjnego z dnia 10 lipca 2025 roku (sygn. akt. III OSK 1594/22)
W wyroku tym NSA uznał za słuszne argumenty Prezesa UODO, który nakazał usunąć dane byłego klienta Santander Consumer Bank. Sąd stwierdził, że administrator nie może powoływać się na uzasadniony interes (art. 6 ust. 1 lit. f RODO) i przetwarzać danych osoby, z którą nie łączy go już umowa.
W sprawie tej bank sprzedał wierzytelność klienta innemu podmiotowi. A podstawę przetwarzania jego danych widział w uzasadnionym interesie związanym z ewentualnymi roszczeniami, np. klienta wobec banku.
NSA – rozpatrując skargę Prezesa UODO na wyrok WSA – uznał, że organ nadzorczy prawidłowo ocenił, że bank nie wskazał istnienia roszczeń, których zaspokojenia domaga się od skarżącego oraz nabywcy wierzytelności, jak również nie wykazał, aby zaspokojenia roszczeń domagał się od banku nabywca wierzytelności lub skarżący. Naczelny Sąd Administracyjny podzielił stanowisko Prezesa UODO, że ewentualne i niepewne roszczenia, które hipotetycznie mogłyby pojawić się w przyszłości nie są wystarczającą przesłanką uzasadniającą przetwarzanie takich danych. A skoro nie istnieje cel, który uzasadniałby przetwarzanie danych osobowych byłego klienta, to należy je usunąć.
Decyzja Prezesa UODO, której dotyczył wyrok NSA: DS.440.197.2019
Wyrok NSA wraz z uzasadnieniem nie został jeszcze opublikowany. Po tym jak ukaże się pełna treść uzasadnienia, przekażemy Państwu nasze stanowisko w tej sprawie. Ponieważ sama informacja opublikowana na stronie internetowej UODO o treści wyroku, wskazuje ogólnie na zakaz przetwarzania danych w celu ewentualnego dochodzenia roszczeń/obrony przed nimi – co obecnie w praktyce jest normą, więc gdyby rzeczywiście taki wniosek płynął z uzasadnienia wyroku, to byłby on przełomowy i wymagał weryfikacji stosowanych działań. Natomiast, wyroki zawsze wydawane są w konkretnym stanie faktycznym, dlatego wstrzymujemy się do czasu zapoznania z pełną treścią tego orzeczenia, aby móc sformułować nasze stanowisko i rekomendacje (być może bowiem decydujące znaczenie ma w tej sprawie fakt, że bank sprzedał wierzytelność klienta innemu podmiotowi i dlatego zdaniem Sądu bank nie może już przechowywać danych w celu dochodzenia/obrony roszczeń).
- Wyrok Naczelnego Sądu Administracyjnego z dnia 10 lipca (syg. akt. III OSK 165/22)
NSA w tym wyroku uznał, że Prezes UODO słusznie nakazał usunięcie danych niedoszłego klienta banku, dotyczące jego zapytania kredytowego, spółce ING Bank Śląski oraz Biuru Informacji Kredytowej (BIK).
NSA wskazał, że BIK i bank są zobowiązane do zaprzestania przetwarzania danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy o kredyt. Odpada wówczas cel przetwarzania, jakim jest badanie zdolności kredytowej. Zdaniem Sądu przetwarzanie danych niedoszłego klienta z powołaniem się na przesłanki zawarte w art. 105a Prawa bankowego jest niewłaściwe. Dotyczy ono bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Tymczasem w sprawie tej pomiędzy bankiem a skarżącym nie doszło do zawarcia umowy i powstania zobowiązania, co stosownie do art. 105a ust. 1-6 Prawa bankowego dawałoby podstawę do dalszego przetwarzania danych osobowych Skarżącego.
Decyzja Prezesa UODO, której dotyczył wyrok NSA: DS.523.70.2020. Na dzień dzisiejszy wyrok NSA wraz z uzasadnieniem nie jest jeszcze opublikowany.
W razie potrzeby, służymy pomocą.
Zespół Kancelarii Kulczycki, Puławska s. c.