NSA potwierdził - bank nie może przetwarzać danych na zapas

Ewentualne przyszłe roszczenia ze strony byłego klienta nie uzasadniają przetwarzania danych osobowych przez bank, gdy stron nie wiąże umowa – uznał Naczelny Sąd Administracyjny w Warszawie. Sąd ten potwierdził więc stanowisko Prezesa UODO i oddalił skargę kasacyjną Banku Millennium na wyrok WSA w Warszawie.

Naczelny Sąd Administracyjny w wyroku z dnia 8 stycznia 2025 r. (sygn., akt. III OSK 4868/21), a wcześniej Wojewódzki Sąd Administracyjny w Warszawie (II SA/Wa 607/20), zgodził się z Prezesem Urzędu Ochrony Danych Osobowych, że bank nie może przetwarzać danych osobowych na podstawie art. 6 ust. 1 lit. f RODO w celu obrony przed ewentualnymi roszczeniami byłych klientów. Takie stanowisko organ nadzorczy zawarł w decyzji administracyjnej nakazującej usunięcie przez Bank Millenium danych małżeństwa, które złożyło skargę do Prezesa UODO na tego administratora.

Prezes UODO ustalił, że wspomniany bank przetwarzał dane swoich byłych klientów, mimo że ich rachunki zostały zamknięte, a dodatkowo wyrazili oni sprzeciw na przetwarzanie ich danych osobowych w celach marketingowych. Okazało się, że bank nadal przetwarzał ich dane, a wyszło to na jaw, gdy wysłał do nich korespondencję marketingową.

Administrator fakt dalszego przetwarzania danych uzasadniał ewentualnymi przyszłymi roszczeniami ze strony klientów i jako podstawę wskazywał uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Prezes UODO uznał jednak, że wskazana przez bank przesłanka dotyczy sytuacji już istniejącej, której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Organ nadzorczy uznał więc, że bank przetwarza dane skarżących wyłącznie „na zapas”, aby zabezpieczyć się przed ewentualnymi przyszłymi i niepewnymi roszczeniami. W uzasadnieniu decyzji Prezes UODO podkreślił też, że przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, mogłoby prowadzić do przetwarzania tych danych permanentnie, bez konieczności ich usunięcia.

Prezes UODO uznał, że bank nie wykazał, by między nim a osobami, których dane przetwarza toczyłby się jakikolwiek spór, który uzasadniałby cel przetwarzania tych danych w rozumieniu art. 6 ust. 1 lit. f RODO.

Argumenty organu nadzorczego potwierdził NSA, który rozpatrując skargę kasacyjną zaznaczył, że przetwarzanie na podstawie uzasadnionego interesu administratora, a więc zastosowanie art. 6 ust. 1 lit. f RODO jest uzasadnione, gdy łącznie spełnione są trzy przesłanki:

1)     po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne;
2)     cele te wynikają z „prawnie uzasadnionych interesów” realizowanych przez administratora;
3)     „prawnie uzasadnione interesy” realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.

W uzasadnieniu wyroku NSA stwierdził, że w tej sprawie jako podstawę przetwarzania danych osobowych Bank wskazywał zabezpieczenie swoich interesów w przypadku dochodzenia przez wnioskodawców ewentualnych roszczeń, podczas gdy nie zostało wykazane, by wnioskodawcy wystąpili wobec strony skarżącej kasacyjnie z jakimkolwiek roszczeniem.

NSA przypomniał też, że zgodnie z zasadą rozliczalności to administrator danych ma wskazywać podstawy prawne przetwarzania danych osobowych, gdyż to na nim spoczywa ciężar dowodowy w zakresie przestrzegania zasad przetwarzania danych.

„W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad” –  podkreślił NSA w uzasadnieniu wyroku. Zdaniem Sądu w tej sprawie skarżący nie wykazał, by mógł przetwarzać dane byłych klientów, po tym jak wycofali zgody na ich przetwarzanie.