II SA/WA 2039/24
Podsumowanie
Przejdź do pełnego tekstuWojewódzki Sąd Administracyjny w Warszawie rozpoznał skargę banku na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), która nakazywała bankowi usunięcie danych osobowych klienta w zakresie dotyczącym umowy kredytowej. Organ ochrony danych uznał, że bank nie wykazał podstawy prawnej do przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO, argumentując, że dane były przetwarzane 'na zapas' w celu zabezpieczenia się przed ewentualnymi przyszłymi roszczeniami, a nie w związku z istniejącym roszczeniem. Sąd administracyjny uchylił zaskarżoną decyzję, uznając, że bank ma uzasadniony interes w przetwarzaniu danych osobowych przez okres ich przedawnienia w celu obrony przed potencjalnymi roszczeniami. Sąd podkreślił, że taka interpretacja art. 6 ust. 1 lit. f RODO jest zgodna z celem ochrony praw podmiotów w obrocie gospodarczym i nie narusza praw ani wolności osób, których dane dotyczą, o ile dane są niezbędne i odpowiednio zabezpieczone. Sąd odwołał się do orzecznictwa NSA, które dopuszcza przetwarzanie danych w celu zabezpieczenia się przed ewentualnym sporem sądowym. Jednocześnie sąd wskazał, że organ powinien zbadać, czy cały zakres przetwarzanych danych jest niezbędny i czy są one odpowiednio zabezpieczone.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Zagadnienia prawne (3)
Czy przetwarzanie danych osobowych przez administratora w celu obrony przed potencjalnymi roszczeniami, które jeszcze nie zostały zgłoszone, ale mogą powstać w przyszłości i nie uległy przedawnieniu, stanowi prawnie uzasadniony interes administratora w rozumieniu art. 6 ust. 1 lit. f RODO?Ratio decidendi
Odpowiedź sądu
Tak, przetwarzanie danych osobowych przez administratora w celu obrony przed potencjalnymi roszczeniami, które jeszcze nie zostały zgłoszone, ale mogą powstać w przyszłości i nie uległy przedawnieniu, stanowi prawnie uzasadniony interes administratora w rozumieniu art. 6 ust. 1 lit. f RODO.
Uzasadnienie
Sąd uznał, że interpretacja art. 6 ust. 1 lit. f RODO dopuszczająca przetwarzanie danych w celu zabezpieczenia się przed ewentualnym sporem sądowym jest trafna i zgodna z celem ochrony praw podmiotów w obrocie gospodarczym. Podkreślono, że taka możliwość jest niezbędna dla racjonalnego prowadzenia działalności gospodarczej i nie narusza praw osób, których dane dotyczą, o ile dane są niezbędne i odpowiednio zabezpieczone.
Czy organ ochrony danych osobowych może oceniać ważność umów cywilnoprawnych zawartych między stronami?
Odpowiedź sądu
Nie, organ ochrony danych osobowych nie może oceniać ważności umów cywilnoprawnych, gdyż wykracza to poza jego ustawowe kompetencje.
Uzasadnienie
Rola organu ochrony danych ogranicza się do oceny procesu przetwarzania danych osobowych, a nie do rozstrzygania sporów wynikających z umów.
Czy organ ochrony danych osobowych prawidłowo ocenił zakres niezbędności przetwarzania danych osobowych przez bank?Ratio decidendi
Odpowiedź sądu
Nie, sprawa nie została właściwie wyjaśniona w zakresie niezbędności całego katalogu przetwarzanych danych osobowych oraz sposobu ich gromadzenia i zabezpieczenia.
Uzasadnienie
Sąd wskazał, że organ powinien zbadać, czy cały zakres danych powiązanych z umową jest niezbędny dla realizacji dopuszczalnych celów przetwarzania oraz czy są one gromadzone w sposób umożliwiający dostęp do nich tylko dla realizacji zadań opartych na uzasadnionym interesie prawnym.
Przepisy (10)
Główne
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. Sąd uznał, że obrona przed potencjalnymi roszczeniami przez okres ich przedawnienia mieści się w tym uzasadnionym interesie.
p.p.s.a. art. 145 § 1
Ustawa z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi
Podstawa do uchylenia decyzji organu administracji w przypadku naruszenia prawa materialnego lub postępowania.
Pomocnicze
k.s.h. art. 494 § 1
Ustawa z dnia 15 września 2000 r. - Kodeks spółek handlowych
Bank stał się administratorem danych osobowych w wyniku połączenia z innym bankiem.
K.c. art. 118
Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny
Ogólny termin przedawnienia roszczeń wynosi sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej - trzy lata.
K.c. art. 725
Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny
Przez umowę rachunku bankowego bank zobowiązuje się do przechowywania środków pieniężnych i przeprowadzania rozliczeń.
K.c. art. 731
Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny
Roszczenia wynikające ze stosunku rachunku bankowego przedawniają się z upływem lat dwóch.
K.c. art. 117 § 21
Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny
Po upływie terminu przedawnienia nie można domagać się zaspokojenia żądania przysługującego przeciwko konsumentowi.
K.p.a. art. 7
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego
Obowiązek podejmowania czynności niezbędnych do dokładnego wyjaśnienia i załatwienia sprawy.
K.p.a. art. 77 § 1
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego
Obowiązek wyczerpującego zebrania i rozpatrzenia materiału dowodowego.
K.p.a. art. 80
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego
Obowiązek oceny na podstawie materiału dowodowego, czy strona ma rację.
Argumenty
Skuteczne argumenty
Bank ma uzasadniony interes w przetwarzaniu danych osobowych przez okres przedawnienia roszczeń w celu obrony przed potencjalnymi roszczeniami. • Interpretacja art. 6 ust. 1 lit. f RODO dopuszczająca przetwarzanie danych w celu zabezpieczenia się przed ewentualnym sporem sądowym jest zgodna z celem ochrony praw podmiotów w obrocie gospodarczym. • Organ ochrony danych nie może oceniać ważności umów cywilnoprawnych.
Odrzucone argumenty
Organ ochrony danych prawidłowo uznał, że bank nie ma podstawy prawnej do przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO, ponieważ dane były przetwarzane 'na zapas', a nie w związku z istniejącym roszczeniem.
Godne uwagi sformułowania
nie można z góry wyłączyć dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyłącznie z uwagi na potencjalność realizacji tego roszczenia. • nie jest trafne ogólnych tez, wyrażonych m.in. w wyroku tegoż Sądu z 5 maja 2025 r. (sygn. akt III OSK 6553/21), gdyż przede wszystkim nie odniesiono się w nim do rzeczywistych uwarunkowań i praktyki obrotu gospodarczego. • nie sposób zakładać, aby intencją tegoż prawodawcy - stanowiącego przepisy w zakresie ochrony danych osobowych w RODO - było ingerowanie w praktyki gospodarcze (ich istotna modyfikacja) – na przykład ograniczenie możliwości dochodzenia roszczeń przed terminem ich przedawnienia.
Skład orzekający
Joanna Kube
przewodniczący
Łukasz Krzycki
sprawozdawca
Anna Pośpiech-Kłak
członek
Informacje dodatkowe
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego problemu banków i innych firm: jak długo można przetwarzać dane klientów po zakończeniu umowy, aby zabezpieczyć się przed przyszłymi roszczeniami. Wyrok wyjaśnia kluczowe kwestie związane z RODO i uzasadnionym interesem administratora.
“Czy bank może przechowywać Twoje dane po latach? Sąd wyjaśnia granice RODO.”
Sektor
bankowość
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.