III OSK 1109/25
Podsumowanie
Przejdź do pełnego tekstuSprawa dotyczyła przetwarzania przez bank B. S.A. danych osobowych dotyczących upadłości konsumenckiej osoby fizycznej, które bank pozyskał z Monitora Sądowego i Gospodarczego. Bank argumentował, że przetwarzanie tych danych jest niezbędne do oceny zdolności kredytowej i analizy ryzyka, powołując się na art. 6 ust. 1 lit. f RODO oraz przepisy Prawa bankowego. Prezes Urzędu Ochrony Danych Osobowych nakazał bankowi usunięcie tych danych, stwierdzając brak podstawy prawnej. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę banku, a Naczelny Sąd Administracyjny w wyroku z dnia 2 grudnia 2025 r. oddalił skargę kasacyjną banku. NSA podzielił stanowisko sądu pierwszej instancji, podkreślając, że Prawo bankowe (art. 105 ust. 4 i art. 105a) precyzyjnie określa zakres danych, które banki mogą przetwarzać, głównie te stanowiące tajemnicę bankową i związane z czynnościami bankowymi lub stosowaniem metod wewnętrznych. Sąd uznał, że bank nie ma prawa przetwarzać danych osób, które nie są jego klientami i nie zawarły z nim umowy, nawet jeśli dane te pochodzą z publicznie dostępnych rejestrów. Powołanie się na art. 6 ust. 1 lit. f RODO nie może uzupełniać braku wyraźnej podstawy ustawowej, zwłaszcza gdy przepisy szczególne (Prawo bankowe) kompleksowo regulują daną materię. NSA podkreślił, że przetwarzanie danych osobowych jest ograniczeniem konstytucyjnych praw jednostki i wymaga wyraźnej podstawy ustawowej, a przepisy Prawa bankowego w tym zakresie należy interpretować literalnie.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaPotwierdzenie ścisłej interpretacji przepisów Prawa bankowego dotyczących przetwarzania danych osobowych przez banki i instytucje informacji gospodarczej, zwłaszcza w kontekście RODO. Ugruntowanie zasady, że przepisy szczególne wyłączają stosowanie ogólnych klauzul RODO, gdy regulują daną materię kompleksowo.
Orzeczenie dotyczy specyficznej sytuacji przetwarzania danych o upadłości konsumenckiej przez bank, który nie jest stroną umowy z daną osobą. Może być mniej bezpośrednio stosowalne do innych sytuacji przetwarzania danych przez banki, gdzie istnieje wyraźna podstawa prawna w Prawie bankowym lub RODO.
Zagadnienia prawne (2)
Czy bank może przetwarzać dane osobowe dotyczące upadłości konsumenckiej osoby fizycznej, która nie jest jego klientem, na podstawie art. 6 ust. 1 lit. f RODO, w celu oceny zdolności kredytowej i analizy ryzyka?Ratio decidendi
Odpowiedź sądu
Nie, bank nie może przetwarzać takich danych bez wyraźnej podstawy prawnej wynikającej z Prawa bankowego. Przepisy Prawa bankowego (art. 105 ust. 4 i art. 105a) kompleksowo regulują zakres dopuszczalnego przetwarzania danych przez banki i instytucje takie jak B. S.A., ograniczając je głównie do informacji stanowiących tajemnicę bankową i związanych z czynnościami bankowymi lub stosowaniem metod wewnętrznych. Powołanie się na art. 6 ust. 1 lit. f RODO nie może uzupełniać braku takiej podstawy.
Uzasadnienie
Prawo bankowe precyzyjnie określa zakres danych, które bank może przetwarzać, ograniczając go do tajemnicy bankowej i danych związanych z czynnościami bankowymi. Dane o upadłości konsumenckiej osoby, która nie jest klientem banku, nie mieszczą się w tym zakresie. Artykuł 6 ust. 1 lit. f RODO nie może stanowić samodzielnej podstawy do przetwarzania danych, jeśli przepisy szczególne (Prawo bankowe) kompleksowo regulują tę kwestię i nie przewidują takiej możliwości. Przetwarzanie danych osobowych jest ograniczeniem praw konstytucyjnych i wymaga wyraźnej podstawy ustawowej.
Czy przepisy Prawa bankowego (art. 105 ust. 4 i art. 105a) stanowią kompleksową regulację dopuszczającą przetwarzanie danych osobowych przez B. S.A., czy też mogą być uzupełniane przez RODO w zakresie nieuregulowanym?Ratio decidendi
Odpowiedź sądu
Przepisy Prawa bankowego w zakresie przetwarzania danych przez B. S.A. należy traktować jako regulację kompleksową. Ograniczają one możliwość przetwarzania danych wyłącznie do informacji stanowiących tajemnicę bankową i związanych z celami określonymi w tych przepisach. W zakresie nieuregulowanym przez Prawo bankowe, przetwarzanie danych osobowych przez B. S.A. nie może być oparte na art. 6 ust. 1 lit. f RODO, jeśli przepisy Prawa bankowego w sposób wyczerpujący określają dopuszczalne działania.
Uzasadnienie
Prawo bankowe w art. 105 ust. 4 i art. 105a ust. 4 precyzyjnie określa podstawę prawną i zakres przetwarzania danych przez B. S.A., ograniczając go do tajemnicy bankowej i określonych celów. Ta regulacja jest kompleksowa i wyłącza możliwość przetwarzania innych danych na podstawie ogólnych przepisów RODO, zwłaszcza gdy dotyczy to ograniczenia praw konstytucyjnych.
Przepisy (29)
Główne
Prawo bankowe art. 105 § ust. 4
Ustawa Prawo bankowe
Określa podstawę kompetencyjną i zakres działania instytucji utworzonych przez banki do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową.
Prawo bankowe art. 105a § ust. 1-6
Ustawa Prawo bankowe
Szczegółowo reguluje zakres, zasady i czas przetwarzania danych osobowych klientów banków, z którymi nawiązano stosunek zobowiązaniowy.
Prawo bankowe art. 105a § ust. 4
Ustawa Prawo bankowe
Określa warunki i cele przetwarzania danych osobowych po wygaśnięciu zobowiązania.
Konstytucja RP art. 51
Konstytucja Rzeczypospolitej Polskiej
Gwarantuje prawo do ochrony danych osobowych.
Konstytucja RP art. 47
Konstytucja Rzeczypospolitej Polskiej
Gwarantuje prawo do ochrony prawnej życia prywatnego.
Konstytucja RP art. 31 § ust. 3
Konstytucja Rzeczypospolitej Polskiej
Określa warunki ograniczania praw i wolności konstytucyjnych.
Pomocnicze
RODO art. 6 § ust. 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Podstawa przetwarzania danych oparta na prawnie uzasadnionym interesie administratora. Sąd uznał, że nie może być stosowana, gdy przepisy szczególne (Prawo bankowe) kompleksowo regulują daną materię i nie przewidują takiej możliwości.
k.p.a. art. 104 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § ust. 1 i 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
RODO art. 58 § ust. 2 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
p.p.s.a. art. 174 § pkt 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
k.p.a. art. 7
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 77 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
p.p.s.a. art. 141 § § 4
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 185 § § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 106 § § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 193
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
TFEU art. 267
Traktat o funkcjonowaniu Unii Europejskiej
p.p.s.a. art. 183 § § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 183 § § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 189
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 204 § pkt 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 205 § § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/848 art. 79 § ust. 4 i 5
Dotyczy krajowych baz danych w kontekście pytań prejudycjalnych.
rozporządzenie nr 575/2013 § część trzecia
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013
Dotyczy metod wewnętrznych i innych metod i modeli stosowanych przez banki.
Argumenty
Skuteczne argumenty
Prawo bankowe stanowi kompleksową regulację dopuszczającą przetwarzanie danych osobowych przez B. S.A. wyłącznie w zakresie tajemnicy bankowej i określonych celów, co wyłącza możliwość stosowania art. 6 ust. 1 lit. f RODO do przetwarzania danych osób niebędących klientami banku. • Przetwarzanie danych osobowych jest ograniczeniem praw konstytucyjnych i wymaga wyraźnej podstawy ustawowej, która nie może być zastępowana przez ogólne klauzule RODO, gdy przepisy szczególne są wyczerpujące.
Odrzucone argumenty
Bank B. S.A. argumentował, że może przetwarzać dane o upadłości konsumenckiej na podstawie art. 6 ust. 1 lit. f RODO w celu oceny zdolności kredytowej i analizy ryzyka, nawet jeśli osoba nie jest klientem banku. • Bank kwestionował kompleksowość regulacji Prawa bankowego, sugerując możliwość uzupełniania jej przepisami RODO.
Godne uwagi sformułowania
Przepis art. 105 ust. 4 ustawy Prawo bankowe wyłącza możliwość przetwarzania innych danych niż określone w przepisie art. 105a ust. 4 Prawa bankowego w oparciu o przepis art. 6 ust. 1 lit. f RODO w celu realizacji zadań, o jakich mowa w art. 105 ust. 4 Prawa bankowego. • Prawo bankowe stanowi zatem kompleksową podstawę prawną przetwarzania danych osobowych i tylko w jej ramach możliwe jest przetwarzanie danych osobowych przez B. • Przetwarzanie danych osobowych stanowi ograniczenie konstytucyjnych praw wolnościowych jednostki uregulowanych w art. 47 i 51 Konstytucji, co oznacza, że jest ono w świetle przepisu art. 31 ust. 3 Konstytucji dopuszczalne wyłącznie w sytuacjach szczegółowo wskazanych przez ustawę.
Skład orzekający
Mariusz Kotulski
sędzia del. WSA
Przemysław Szustakiewicz
przewodniczący
Rafał Stasikowski
sprawozdawca
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Potwierdzenie ścisłej interpretacji przepisów Prawa bankowego dotyczących przetwarzania danych osobowych przez banki i instytucje informacji gospodarczej, zwłaszcza w kontekście RODO. Ugruntowanie zasady, że przepisy szczególne wyłączają stosowanie ogólnych klauzul RODO, gdy regulują daną materię kompleksowo."
Ograniczenia: Orzeczenie dotyczy specyficznej sytuacji przetwarzania danych o upadłości konsumenckiej przez bank, który nie jest stroną umowy z daną osobą. Może być mniej bezpośrednio stosowalne do innych sytuacji przetwarzania danych przez banki, gdzie istnieje wyraźna podstawa prawna w Prawie bankowym lub RODO.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy ważnego zagadnienia ochrony danych osobowych w sektorze bankowym i relacji między Prawem bankowym a RODO. Pokazuje, jak sądy interpretują granice przetwarzania danych, co jest istotne dla prawników i instytucji finansowych.
“Bank nie może przetwarzać danych o upadłości konsumenta bez podstawy prawnej, nawet z publicznego rejestru.”
Sektor
bankowość
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.