III OSK 1594/22

III OSK 1594/22 - Wyrok NSA
Data orzeczenia
2025-07-10
orzeczenie prawomocne
Data wpływu
2022-06-29
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Artur Kuś /sprawozdawca/
Mariusz Kotulski
Olga Żurawska - Matusiak /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 3673/21 - Wyrok WSA w Warszawie z 2022-03-28
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 188 i 151 oraz art. 203 pkt 2 w zw. z art. 205 § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Olga Żurawska-Matusiak Sędziowie: sędzia NSA Artur Kuś (spr.) sędzia del. WSA Mariusz Kotulski Protokolant starszy asystent sędziego Justyna Skwarek-Światłoń po rozpoznaniu w dniu 10 lipca 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 28 marca 2022 r. sygn. akt II SA/Wa 3673/21 w sprawie ze skargi S. S.A. z siedzibą we W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 20 sierpnia 2021 r. nr DS.440.197.2019.FT.MI.135989, 135990 w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i oddala skargę; 2. zasądza od S. S.A. z siedzibą we W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 28 marca 2022 r. sygn. akt II SA/Wa 3673/21 po rozpoznaniu sprawy ze skargi S. S.A. z siedzibą we W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "PUODO", "organ") z 20 sierpnia 2021 r. nr DS.440.197.2019.FT.MI.135989,135990 w przedmiocie przetwarzania danych osobowych w pkt 1 uchylił zaskarżoną decyzję; w pkt 2 zasądził od PUODO na rzecz S. S.A. z siedzibą we W. kwotę 697 złotych, tytułem zwrotu kosztów postępowania.
W uzasadnieniu wyroku Sąd I instancji przyjął następujące okoliczności faktyczne i prawne.
Do PUODO wpłynęła skarga P. C. (dalej: "uczestnik postępowania") na nieprawidłowości w procesie przetwarzania jego danych osobowych przez S. S.A. z siedzibą we W. (dalej: "skarżący", "Bank"), polegające na przetwarzaniu danych osobowych uczestnika postępowania dotyczących umowy nr [...] z 27 lutego 2009 r. bez podstawy prawnej oraz niespełnieniu jego żądania zaprzestania przetwarzania jego danych osobowych.
PUODO decyzją z 20 sierpnia 2021 r., działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U z 2021 r. poz. 735, dalej: "k.p.a."), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35; dalej: "ogólne rozporządzenie o ochronie danych", "RODO") po przeprowadzeniu postępowania administracyjnego w sprawie skargi uczestnika postępowania na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank S.A., polegające na przetwarzaniu danych osobowych uczestnika dotyczących umowy nr [...] z 27 lutego 2009 r. bez podstawy prawnej oraz niespełnieniu jego żądania zaprzestania przetwarzania jego danych osobowych, nakazał Bankowi zaprzestanie przetwarzania danych osobowych uczestnika postępowania dotyczących umowy z 27 lutego 2009 r. nr [...].
W uzasadnieniu zaskarżonej decyzji PUODO wyjaśnił, że wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania.
Organ wyjaśnił, że ogólne rozporządzenie o ochronie danych określa legalność przetwarzania danych osobowych. Każda z przesłanek z art. 6 ust. 1 RODO ma charakter autonomiczny i niezależny, co oznacza, że spełnienie jednej z nich stanowi w danym przypadku o zgodności z prawem przetwarzania danych osobowych. Podkreślić zatem należy także, że zgoda osoby, której dane dotyczą nie jest jedyną podstawą uprawniającą do przetwarzania jej danych osobowych (lit. a). Proces przetwarzania danych będzie zgodny z przepisami ustawy również wtedy, gdy administrator danych wykaże spełnienie choćby jednej przesłanki z wspomnianego art. 6 ust. 1 RODO, w tym, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (lit. f).
PUODO podzielił ponadto stanowisko NSA odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (wyrok NSA z 6 marca 2019 r., sygn. akt I OSK 994/17).
Organ wskazał, że z materiału dowodowego zgromadzonego w toku postępowania wynika, że Bank 9 lutego 2018 r. sprzedał wierzytelność wynikającą z zawartej pomiędzy uczestnikiem postępowania a Bankiem umowy pożyczki z 27 lutego 2009 r. nr [...], która została skutecznie wypowiedziana 22 lutego 2011 r. do G. NSFiZ, reprezentowanego przez G. S.A. Organ zwrócił uwagę, że Bank dysponuje wiedzą, że rozliczenie ww. umowy nastąpiło 13 lutego 2018 r., wskazując jednocześnie, iż obecnie przetwarza dane osobowe uczestnika postępowania dotyczące ww. umowy jedynie w celach dowodowych względem nabywcy wierzytelności na podstawie art. 509 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2020 r., poz. 1740 dalej: "k.c."), w zw. z art. 516 k.c. w zw. z art. 118 k.c. w zw. z art. 6 ust. 1 lit. f RODO.
Organ powołał się na art. 516 k.c. i wyjaśnił, że zbywca wierzytelności ponosi względem nabywcy odpowiedzialność za to, że wierzytelność mu przysługuje. Za wypłacalność dłużnika w chwili przelewu ponosi odpowiedzialność tylko o tyle, o ile tę odpowiedzialność na siebie przyjął. Zgodnie natomiast z art. 118 k.c., jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej - trzy lata. Jednakże koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego, chyba że termin przedawnienia jest krótszy niż dwa lata.
PUODO podniósł, że z zebranego materiału dowodowego nie wynika, aby podmiot, który nabył wierzytelność od Banku wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie do zachowania i przetwarzania danych osobowych uczestnika postępowania dla celów dowodowych, w szczególności, iż Bank dysponuje wiedzą, że rozliczenie ww. umowy nastąpiło 13 lutego 2018 r.
W ocenie PUODO, brak jest zatem podstaw do spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych uczestnika postępowania. Przesłanka z art. 6 ust 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
W związku z tym, że przeprowadzone przez PUODO postępowanie administracyjne nie wykazało, aby nabywca wierzytelności czy też uczestnik postępowania skierowali wobec Banku jakiekolwiek roszczenie, a także aby to Bank wystąpił z roszczeniem wobec ww. podmiotów, należy stwierdzić, iż Bank przetwarza dane osobowe uczestnika postępowania w ww. celu wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami.
PUODO podzielił ponadto stanowisko NSA odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z 6 marca 2019 r. w sprawie sygn. akt I OSK 994/17 orzekł, że "Przepis art. 23 ust. 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zatem zwrócić uwagę, że stosowanie ww. przepisu wymaga wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. Naczelny Sąd Administracyjny w wyroku z 23 września 2005 r. (sygn. akt l OSK 712/05) już wskazywał, że rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron w tym praw podstawowych. Zdaniem NSA, przetwarzanie danych osobowych (...), który cofnął zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez (...), a którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych (...) w celu obsługi wniosku kredytowego. Wskazać, należy że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Prawidłowe jest stanowisko Sądu pierwszej instancji, że niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości.".
POUODO podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów, uczestnik postępowania pozbawiony byłby ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781). Organ zaznaczył, że przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe uczestnika postępowania mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest by nabywca wierzytelności lub uczestnik postępowania zwrócili się do Banku z roszczeniem po upływie terminu jego przedawnienia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych uczestnika postępowania przez Spółkę ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem również po upływie ww. terminu.
W ocenie PUODO, brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank. Koniecznym jest by podnieść, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Podkreślenia wymaga, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Zdaniem PUODO z uwagi na to, że rozliczenie umowy pożyczki z 27 lutego 2009 r. o nr [...] nastąpiło 13 lutego 2018 r. oraz Bank nie wskazał istnienia roszczeń, których zaspokojenia domaga się od uczestnika postępowania oraz nabywcy wierzytelności, jak również nie wykazał aby zaspokojenia roszczeń domagał się od Banku nabywca wierzytelności lub uczestnika postępowania, w ocenie PUODO, brak jest celu uzasadniającego przetwarzanie ww. danych osobowych uczestnika postępowania, w rozumieniu art. 6 ust. 1 lit. f RODO. Wobec powyższego, kontynuowanie do chwili obecnej przetwarzania danych osobowych uczestnika postępowania w celu ustalenia, dochodzenia lub obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, należy uznać za zbędne i niezgodne z obowiązującymi przepisami o ochronie danych osobowych. W związku z powyższym, PUODO nakazał Bankowi zaprzestanie przetwarzania danych osobowych uczestnika postępowania wynikających z umowy pożyczki z 27 lutego 2009 r. o nr [...], przetwarzanych w ww. celu.
Na powyższe rozstrzygnięcie skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wywiódł Bank. Zaskarżonej decyzji zarzucił naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy tj. art. 6 ust. 1 lit. f RODO poprzez jego błędną wykładnię, skutkującą przyjęciem, że przetwarzanie danych osobowych dłużnika wierzytelności, która została przelana na osobę trzecią, przez okres przedawnienia roszczeń cedenta wobec cesjonariusza, wynikających z umowy przelewu wierzytelności, nie stanowi prawnie uzasadnionego interesu administratora, podczas gdy prawidłowa interpretacja tego przepisu prowadzi do wniosku, iż takie przetwarzanie jest dopuszczalne przez okres przedawnienia roszczeń wynikający z art. 118 KC w zakresie uzasadnionym celem takiego przetwarzania.
W odpowiedzi na skargę PUODO wniósł o jej oddalenie podtrzymując argumentację wyrażoną w uzasadnieniu zaskarżonej decyzji.
Powołanym na wstępie wyrokiem Wojewódzki Sąd Administracyjny w Warszawie uwzględnił skargę.
Sąd I instancji stwierdził, że istota problemu w niniejszej sprawie sprowadza się do udzielenia odpowiedzi na pytanie, czy art. 6 ust. 1 lit. f RODO stwarzający podstawę do przetwarzania danych osobowych dotyczy wyłącznie sporu już istniejącego realnego, jak twierdzi organ, czy też może dotyczyć sporu hipotetycznego na co powołuje się Bank.
Sąd I instancji wyjaśnił, że stosowanie tego przepisu następuje dwuetapowo. Przede wszystkim oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z powyższego interesu.
W drugim etapie trzeba natomiast ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f, jako uzasadnienie dla przetwarzania danych osobowych. Stosowanie tej negatywnej przesłanki polega w istocie na wyważeniu dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności podmiotu danych z drugiej.
Zdaniem Sądu I instancji, prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem. Owa zgodność z prawem stanowi ograniczenie pojęcia interesu administratora lub strony trzeciej jako potencjalnej podstawy do przetwarzania danych osobowych.
Sąd podkreślił, że w doktrynie przyjmuje się, że wykładnia pojęcia prawnie uzasadnionego interesu powinna być szeroka i obejmować interesy gospodarcze, faktyczne, czy też prawne. Tak rozumiany prawnie uzasadniony interes musi być realizowany przez administratora lub przez stronę trzecią. Podkreślić przy tym trzeba, że może to być interes nie tylko administratora, który przetwarza już dane osobowe, lecz również administratora, któremu dane te mogą dopiero zostać ujawnione. Pojęcie niezbędności oznacza z kolei, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne, a więc musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.
Zdaniem Sądu, nie można zgodzić się z zarzutem PUODO, iż konieczność usunięcia przez stronę skarżącą danych osobowych wynikała z tego, iż Bank nie wykazał, aby uczestnik postępowania lub nabywcy wierzytelności wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę lub cesjonariusza tego roszczenia. W ocenie Sądu, nie sposób uznać bowiem - jak sugeruje organ nadzorczy - że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Sąd I instancji stwierdził, że takie stanowisko organu nadzorczego prowadziłoby do tego, iż nie byłyby uznawane za uzasadnione interesy Banku, które w rzeczywistości istnieją przez cały okres przedawnienia roszczeń. W konsekwencji przyjęcia takiego stanowiska organu nadzorczego, skarżący zostałby zmuszony do usunięcia danych osobowych, które wciąż mogą okazać się niezbędne do realizacji prawa do obrony strony skarżącej przed sądem, w przypadku wystąpienia z roszczeniami przed terminem przedawnienia, co nastąpiło z dniem 31 grudnia 2021 r.
Zdaniem Sądu, uznać należy jednocześnie, że uzależnienie legalności podstawy do przetwarzania danych osobowych od wystąpienia z roszczeniem, jest postulatem niesprawiedliwym i dającym duże możliwości nadużyć na szkodę przedsiębiorców i klientów.
Sąd I instancji podkreślił również, że całkowicie nieuzasadnione są obawy organu dotyczące rzekomego permanentnego przetwarzania danych przez Bank, skoro strona skarżąca wielokrotnie wskazywała w toku postępowania, że przetwarza dane osobowe uczestnika postępowania w celu ustalenia, dochodzenia lub obrony roszczeń, z zastosowaniem 3-letniego terminu przedawnienia, którego koniec przypada na ostatni dzień roku kalendarzowego liczonego od daty zapłaty ceny za wierzytelność przez G. NSFIZ 14 lutego 2018 r. W związku z powyższym Sąd I instancji stwierdził, że należy konsekwentnie przyjąć, że w okresie, kiedy każda ze stron stosunku zobowiązaniowego może wystąpić do sądu z roszczeniami wynikającymi z tego stosunku, czyli przez określony odrębnymi przepisami okres przedawnienia roszczeń, istnieje prawnie uzasadniony interes administratora danych do ich przetwarzania, z zastrzeżeniem, że przetwarzanie to odbywa się w sposób ograniczony wyłącznie do celu, jakim jest cel dowodowy w ewentualnym postępowaniu sądowym, a zatem co do zasady przetwarzanie to polega na przechowywaniu danych.
W tej sytuacji, Sąd I instancji uznał, że - wbrew obawom PUODO - po upływie terminu przedawnienia roszczeń nie będzie można mówić już o uzasadnionym interesie do dalszego przetwarzania danych osobowych przez Bank.
W tej sytuacji, Sąd uznał, że PUODO wydając sporną decyzję administracyjną - dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji.
Zdaniem Sądu I instancji działanie PUODO w sposób istotny naruszało także zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażoną w art. 8 § 1 k.p.a.
PUODO wywiódł skargę kasacyjną od powyższego wyroku zarzucając naruszenie:
1. przepisów postępowania tj.:
a) art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 6 k.p.a. i 7 k.p.a., oraz art. 7 Konstytucji poprzez niezasadne uznanie, że wydając zaskarżoną decyzję administracyjną naruszył zasadę praworządności, co w konsekwencji doprowadziło do uchylenia przedmiotowej decyzji,
b) art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. art. 8 § 1 k.p.a., poprzez niezasadne uznanie, że działanie PUODO naruszało zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji,
2. naruszenie prawa materialnego, tj. 6 ust. 1 lit. f RODO, polegające na jego nieprawidłowej wykładni poprzez uznanie, że przetwarzanie danych osobowych na wypadek ewentualnych, przyszłych i niepewnych roszczeń stanowi prawnie uzasadniony interes administratora w sytuacji, gdy odbywa się w terminach przedawnienia roszczeń uregulowanych w k.c.
Podnosząc powyższe zarzuty skarżący kasacyjnie organ wniósł o uchylenie w całości zaskarżonego wyroku i rozpoznanie skargi, w przypadku uznania, że istota sprawy jest dostatecznie wyjaśniona albo o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, a także o zasądzenie kosztów postępowania według norm prawem przepisanych.
Skarżący kasacyjnie wniósł o rozpoznanie sprawy na rozprawie.
W odpowiedzi na skargę kasacyjną Bank wniósł o jej oddalenie oraz zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa prawnego według norm przepisanych.
Naczelny Sąd Administracyjny zważył, co następuje.
Wniesiona skarga kasacyjna jest zasadna.
1. Zgodnie z art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznając skargę kasacyjną, związany jest jej granicami. Z urzędu bierze pod rozwagę wyłącznie nieważność postępowania. W rozpoznawanej sprawie żadna z enumeratywnie wymienionych w art. 183 § 2 p.p.s.a. przesłanek nieważności postępowania nie zachodzi, stąd NSA rozpoznał skargę kasacyjną w jej granicach.
Zgodnie z art. 188 p.p.s.a., Naczelny Sąd Administracyjny w razie uwzględnienia skargi kasacyjnej, uchylając zaskarżone orzeczenie, rozpoznaje skargę, jeżeli uzna, że istota sprawy jest dostatecznie wyjaśniona. Skorzystanie z instytucji procesowej, o której mowa w tym przepisie, możliwe jest również w sytuacji, gdy nie wnosił o to wnoszący skargę kasacyjną (zob. wyrok NSA z 10 maja 2005 r., sygn. akt FSK 2536/04, OSP 2006, nr 7-8, poz. 80; wyrok NSA z 24 września 2008 r., sygn. akt I OSK 1494/07, wyrok NSA z 30 lipca 2020 r., sygn. akt I FSK 2021/17). Sprawę należy uznać za dostatecznie wyjaśnioną, gdy jest ona wyjaśniona w stopniu, w jakim, uwzględniając charakter postępowania odwoławczego przed NSA, sąd ten może prawomocnie zweryfikować dokonaną przez wojewódzki sąd administracyjny kontrolę legalności zaskarżonego aktu. Taki stan wyjaśnienia sprawy ma miejsce w niniejszym przypadku. Naczelny Sąd Administracyjny uznał bowiem, że stan prawny i faktyczny sprawy został dostatecznie wyjaśniony i nie pozostawia wątpliwości.
Z powyższych względów, Naczelny Sąd Administracyjny uznał skargę kasacyjną za usprawiedliwioną i na podstawie art. 188 p.p.s.a. w zw. z art. 151 p.p.s.a. uchylił zaskarżony wyrok i oddalił skargę.
2. W skardze kasacyjnej wskazano, że Sąd I instancji naruszył zarówno przepisy prawa procesowego, poprzez niezasadne uznanie, że działanie PUODO naruszało zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, co w konsekwencji doprowadziło do uchylenia decyzji, jak i prawa materialnego poprzez naruszenie art. 6 ust. 1 lit. f RODO.
W ocenie NSA, zarzuty zawarte w skardze kasacyjnej są zasadne.
W pierwszej kolejności wskazać trzeba, że stan faktyczny niniejszej sprawy był bezsporny. Odmienna jednak była ocena prawna PUODO i Sądu I instancji (który podzielił zarzuty Banku) w zakresie zastosowanych w sprawie przepisów prawa i ich wykładni.
Wskazać należy na kluczowe okoliczności, mające zasadnicze znaczenie dla sprawy:
- Bank pozyskał dane osobowe obejmujące dane identyfikacyjne, teleadresowe, finansowe oraz dane dotyczące zobowiązań skarżącego w wyniku zawarcia szeregu umów, w tym, kluczowej dla sprawy - umowy pożyczki z 27 lutego 2009 r.;
- umowa pożyczki została skutecznie wypowiedziana 22 lutego 2011 r.;
- umowa pożyczki została sprzedana przez Bank 9 lutego 2018 r. do G.;
- całkowite rozliczenie umowy pożyczki nastąpiło 13 lutego 2018 r. (G. zapłacił całą cenę za wierzytelność);
- skarżący 16 kwietnia 2019 r. złożył wniosek o zaprzestanie przetwarzania jego danych osobowych, wskazując, że zobowiązanie zostało w całości uregulowane;
- w piśmie z 25 kwietnia 2019 r. Bank wskazał, że całkowite zaprzestanie przetwarzania danych nie może zostać zrealizowane ze względu na spełnienie warunków uprawniających do przetwarzania w B. S.A. danych dotyczących umowy stanowiących tajemnicę bankową bez zgody skarżącego;
- dodatkowo Bank wskazał, że w niniejszej sprawie roszczenia cesjonariusza mogą być skutecznie dochodzone przez okres 3 lat licząc od dnia zapłaty całej ceny przez G. za wierzytelność, tj. od 14 lutego 2018 r., zgodnie z art. 118 k.c.
W ocenie NSA, Sąd I instancji w sposób prawidłowy zidentyfikował główny problemu w niniejszej sprawie, wskazując, że istota problemu sprowadza się do udzielenia odpowiedzi na pytanie, czy art. 6 ust. 1 lit. f RODO stwarzający podstawę do przetwarzania danych osobowych dotyczy wyłącznie sporu już istniejącego realnego (jak twierdzi organ), czy też może dotyczyć sporu hipotetycznego (na co powołuje się Bank). Prawidłowe zidentyfikowanie problemu prawnego nie oznacza jednak, że Sąd I instancji w sposób prawidłowy dokonał wykładni przepisów prawa i dokonał prawidłowej oceny zaskarżonej decyzji PUODO.
3. Zdaniem NSA, stanowisko Sądu I instancji jest błędne, z kilku zasadniczych powodów.
Sąd I instancji w sposób bardzo powierzchowny wskazał, że PUODO wydając sporną decyzję administracyjną dopuścił się istotnego naruszenia zasady praworządności wyrażonej w art. 6 k.p.a. i art. 7 k.p.a. oraz art. 7 Konstytucji a także naruszył zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażoną w art. 8 § 1 k.p.a. Sąd I instancji w żaden sposób nie wyjaśnił jednak, dlaczego w jego ocenie działanie organu nie spełniło warunków wynikających ze wskazanych przepisów procesowych. Z samego faktu, że Bank nie zgadzał się z wydanym rozstrzygnięciem PUODO nie można wywodzić, że w niniejszej sprawie PUODO naruszył przepisy procesowe i to w stopniu uzasadniającym uchylenie zaskarżonej decyzji. Rację ma skarżący kasacyjnie, że organ prowadząc postępowanie musiał w oparciu o zgromadzony materiał dowodowy ustalić okoliczności faktyczne i prawne przedmiotowej sprawy, a zatem faktycznie istniejące cele, na podstawie których Bank rzeczywiście przetwarzał dane osobowe skarżącego. Postępowanie przeprowadzone przez organ było zatem w pełni prawidłowe i nie powinno budzić zastrzeżeń.
NSA nie podziela stanowiska Sądu I instancji, że organ w niniejszej sprawie naruszył przepisy prawa materialnego poprzez uznanie, że art. 6 ust. 1 lit. f RODO dotyczy sytuacji "już istniejącej", w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Wskazać należy, że zgodnie z art. 6 ust. 1 lit. f RODO: "(...) przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków (...) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań".
Zastosowanie art. 6 ust. 1 lit. f RODO jest więc uzasadnione, gdy łącznie spełnione są następujące przesłanki: 1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne; 2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora; 3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane (por. wyrok NSA z 5 lutego 2025 r., sygn. akt III OSK 6553/21).
W orzecznictwie podkreśla się, że celem przepisów o ochronie danych osobowych jest ochrona prywatności w rozumieniu art. 47 Konstytucji (por. wyrok NSA z 30 marca 2006 r., sygn. akt I OSK 628/05; wyrok NSA z 3 grudnia 2019 r., sygn. akt I OSK 920/18). Zagwarantowana w art. 51 Konstytucji autonomia informacyjna oznacza prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, jeśli znajdują się w posiadaniu innych podmiotów (por. wyrok TK z 19 lutego 2002 r., sygn. U 3/01). Konstytucja wyraża prawo jednostki do ochrony danych osobowych, w zakres którego wchodzi m.in. wymaganie ustawowej podstawy nałożenia obowiązku ujawnienia przez daną osobę informacji jej dotyczących (ust. 1), zakaz pozyskiwania, gromadzenia i udostępniania innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), prawo dostępu jednostki do dokumentów i zbiorów danych oraz żądania sprostowania bądź usunięcia danych nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (ust. 3 i 4). Powyższe rozwiązania oznaczają z jednej strony, że przesłanki legalizujące przetwarzanie danych osobowych powinny być wykładane sposób zawężający, a postępowanie w sprawach związanych z wystąpieniem przesłanki pozwalającej na ujawnienie danych osobowych powinno zmierzać do tego, aby nie było wątpliwości co do wystąpienia możliwości przetwarzania danych osobowych przez dany podmiot (por. wyrok NSA z 20 stycznia 2021 r. sygn. akt III OSK 2986/21).
Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji (por. wyrok NSA z 20 lutego 2024 r., sygn. akt III OSK 2700/22). Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga od administratora wykazania, że jest to "konieczne" z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator będzie musiał wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasady minimalizacji przetwarzania danych (art. 5 ust. 1 lit. c RODO).
Przetwarzanie danych osobowych jest jedynie elementem zbioru działań administratora, których podjęcie jest konieczne do wykonania ciążącego na nim obowiązku prawnego. Bez przetwarzania danych osobowych obowiązku tego wykonać się nie da. Postanowienia art. 6 ust. 1 lit. c RODO, co do zasady, nie mogą więc stanowić samodzielnej podstawy prawnej przetwarzania danych osobowych. Dla oparcia przetwarzania danych osobowych na tej podstawie należy wskazać - w prawie krajowym lub unijnym - przepisy nakładające na administratora obowiązek, którego realizacja wymaga podjęcia działań o takim charakterze (por. wyrok NSA z 19 marca 2025 r. sygn. akt III OSK 3311/23).
Ważne znaczenie dla niniejszej sprawy ma wyrok NSA z 17 grudnia 2024 r. (sygn. akt III OSK 251/23), gdzie Sąd między innymi wskazał, że:
a) przetwarzanie danych osobowych osoby, która cofnęła zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Bank a którym jest prawo do podjęcia obrony przed ewentualnymi przyszłymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych w celu obsługi wniosku kredytowego;
b) przetwarzanie danych powinno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów; oznacza to zatem, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne (por. D. Lubasz, W. Chomiczewski i inni, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018);
c) niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości.
We wskazanej sprawie pomimo formalnego ustania relacji skarżącego z Bankiem po całkowitej spłacie zobowiązania, Bank nadal przetwarzał jego dane osobowe bez podstawy prawnej oraz udostępniał je w zewnętrznej bazie BIK mimo, iż skarżący wycofał swoją zgodę na jakiekolwiek działania w tym zakresie.
W ocenie NSA, rację ma organ, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank na wypadek zaistnienia takich roszczeń w przyszłości. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, gdyż nie wpływa na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Podkreślenia wymaga, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Z punktu widzenia prawa do ochrony danych osobowych przetwarzanie danych w celu dochodzenia roszczeń (tj. przetwarzanie w celach windykacyjnych) oraz obrony przed istniejącymi roszczeniami, nie jest tożsame z przetwarzaniem na wypadek ewentualnego zaistnienia takich roszczeń w przyszłości, a więc na wypadek przyszłej i niepewnej konieczności dochodzenia roszczeń lub obrony przed nimi. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Przypomnieć trzeba, że zgodnie z art. 516 k.c.: "(...) zbywca wierzytelności ponosi względem nabywcy odpowiedzialność za to, że wierzytelność mu przysługuje. Za wypłacalność dłużnika w chwili przelewu ponosi odpowiedzialność tylko o tyle, o ile tę odpowiedzialność na siebie przyjął". W doktrynie podnosi się, że brakuje podstaw do zastosowania art. 516 k.c. do nabycia wierzytelności w wyniku ustawowego wstąpienia w prawa zaspokojonego wierzyciela. Dochodzi bowiem do tego najczęściej na skutek działań spłacającego podejmowanych bez udziału, a często bez woli i wiedzy dotychczasowego wierzyciela. Nie może więc on ponosić wobec spłacającego odpowiedzialności określonej w art. 516 k.c. (por. M. Balwicka-Szczyrba (red.), A. Sylwestrzak (red.), Kodeks cywilny, Komentarz do art. 516, LEX/el. 2025). Dodatkowo wskazuje się, że art. 516 k.c. normuje stosunek wewnętrzny między zbywcą a nabywcą wierzytelności. Wprowadza odpowiedzialność zbywcy wierzytelności wobec nabywcy za to, że wierzytelność istnieje i że przelewa prawo w takim zakresie, w jakim jest ono skuteczne wobec dłużnika. Zbywca natomiast nie odpowiada wobec nabywcy za wypłacalność dłużnika w chwili przelewu, chyba że taką odpowiedzialność przyjął na siebie w drodze osobnego porozumienia (por. J. Gudowski (red.), Kodeks cywilny. Komentarz do art. 516. Tom III. Zobowiązania. Część ogólna, wyd. II, WKP 2018). Zatem wskazany stosunek zobowiązaniowy stanowi tzw. stosunek wewnętrzny łączący cedenta z cesjonariuszem, który jest odrębny od stosunku przelewu. W wypadku gdy cesja jest skutkiem umowy sprzedaży, zgodnie z art. 546 § 1 k.c. w zw. z art. 555 k.c., na zbywcy wierzytelności spoczywa obowiązek udzielenia nabywcy potrzebnych wyjaśnień o stosunkach prawnych i faktycznych, dotyczących przenoszonej wierzytelności, oraz obowiązek wydania posiadanych przez niego dokumentów, które jej dotyczą. W sytuacji kiedy treść dokumentów dotyczy także innych wierzytelności, sprzedawca-cedent ma obowiązek wydać uwierzytelniony wyciąg z dokumentu (por. A. Kidyba (red.), Kodeks cywilny. Komentarz do art. 516. Tom III. Zobowiązania - część ogólna, wyd. II LEX 2014). Odpowiedzialność zbywcy wierzytelności za wady prawne przelanej wierzytelności wynika ze stosunku zobowiązaniowego leżącego u podstaw przelewu (por. wyrok SN z 17 października 2008 r., sygn. akt I CSK 100/08, LEX nr 479331, z glosą P. Drapały, OSP 2010, z. 3, poz. 31).
W ocenie NSA, skutkiem przedawnienia o którym mowa w art. 118 k.c. nie jest wygaśniecie roszczenia, a tylko niemożność uzyskania ochrony sądowej i w konsekwencji możliwości uzyskania jego przymusowego zaspokojenia z majątku dłużnika. Zobowiązanie na skutek przedawnienia przekształca się w naturalne (por. wyrok SN z 9 lutego 2018 r., sygn. akt I CSK 246/17). Jak wskazał SN w postanowieniu z 18 czerwca 2015 r., sygn. akt III CZ 27/15: "(...) roszczenie to możliwość domagania się od konkretnej osoby, aby w stosunku do uprawnionego zachowała się w ten sposób, że spełni na jej rzecz świadczenie pieniężne lub niepieniężne, wykona pewną czynność, powstrzyma się od jakiegoś działania lub zniesie działanie uprawnionego. Powstaje ono w następstwie zaistnienia w relacjach między uprawnionym i zobowiązanym faktów, z którymi przepisy prawa wiążą konsekwencje determinujące treść poszczególnych roszczeń". Oznacza to, że zobowiązanie nadal istnieje a wierzyciel może podejmować szereg innych czynności windykacyjnych zmierzających do pozasądowej regulacji zobowiązania. W pojęciu "dochodzenia roszczeń" bowiem, mieszczą się zarówno sądowe, jak i pozasądowe działania zmierzające do zaspokojenia wierzytelności przez wierzyciela, mieszczące się w granicach obowiązujących przepisów (por. wyrok NSA z 10 listopada 2015 r. sygn. akt I OSK 1210/14).
Biorąc pod uwagę powyższe wskazać należy na kilka zasadniczych wniosków wynikających z analizy niniejszej sprawy.
Po pierwsze - akceptacja przetwarzania danych osobowych "na zapas" z uwagi na niepewne przyszłe zdarzenie jakim jest ewentualne zgłoszenie roszczeń w przyszłości, doprowadziłoby do sytuacji w której podmioty finansowe mogłyby przetwarzać dane osobowe swoich klientów, bez konieczności ich usunięcia, nawet jeśli łączyłaby ich wcześniej jedynie krótkotrwale trwająca relacja umowna, czy też zobowiązaniowa. Taka interpretacja art. 6 ust. 1 lit. f RODO jest nieprawidłowa, gdyż zgodnie z motywem 47 RODO podstawą prawną przetwarzania mogą być prawnie "uzasadnione interesy" administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie "uzasadniony interes" może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie "uzasadnionego interesu", należy w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, może spodziewać się, że jej dane będą przetwarzanie również w tym celu. Zatem nie można przyjąć, że "uzasadnionym interesem" administratora (o którym mowa w art. 6 ust. 1 lit. f RODO oraz w motywie 47 RODO) jest każdy interes. W ocenie NSA, w niniejszej sprawie występuje interes skarżącego wymagający ochrony danych osobowych, który przeważa nad interesem Banku, który ma aktualnie charakter wyłącznie hipotetyczny i jedynie domniemany, gdyż w analizowanej sprawie pożyczka skarżącego została całkowicie spłacona i minął już okres przedawniania wskazany w art. 118 k.c. Zatem swoiste "zderzenie" interesu indywidualnego skarżącego z przyszłym i jedynie potencjalnym interesem Banku musi prowadzić do uwzględnienia interesu skarżącego w tym zakresie.
Po drugie - przesłanka określona w art. 6 ust. 1 lit. f RODO nie jest ukierunkowana na pełną ochronę interesów sektora gospodarczego (finansowego), ale uzależniona jest od tego, czy przetwarzanie to jest "niezbędne" do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Regulacja ta nie odnosi się zatem do ochrony wszelkich interesów sektora gospodarczego (finansowego). Przede wszystkim ma za zadanie chronić osoby, których proces ten dotyczy przed nieuprawnionym przetwarzaniem ich danych osobowych. Nie można twierdzić, że przetwarzanie danych osobowych "na wszelki wypadek", czy "na zapas" lub w odniesieniu do "ewentualnych i potencjalnych roszczeń" stanowi "uzasadniony interes" Banku. Każdej osobie przysługuje własne indywidualne prawo do prywatności, chroniące prywatną sferę tej osoby i uprawniające ją do samodzielnego decydowania o ujawnieniu informacji pochodzących z tej sfery (por. wyrok SN z 26 maja 2017 r., sygn. akt I CSK 557/16). Skoro w niniejszej sprawie:
a) skarżący zakończył relację z Bankiem,
b) Bank 9 lutego 2018 r. sprzedał wierzytelność wynikającą z zawartej pomiędzy skarżącym a Bankiem umowy pożyczki,
c) rozliczenie umowy pożyczki nastąpiło w dniu 13 lutego 2018 r. (o czym Bank wiedział),
d) żaden podmiot nie wystosował jakichkolwiek roszczeń do Banku związanych z przedmiotową (rozliczoną już) umową pożyczki, ani też w związku ze sprzedażą wierzytelności z niej wynikającej,
e) Bank nie wystąpił z jakimkolwiek roszczeniem do skarżącego czy też do nabywcy wierzytelności,
- to ograniczanie prawa skarżącego do decydowania jakim odbiorcom (podmiotom) ujawnia swoje dane osobowe jedynie z uwagi na hipotetyczne i przyszłe zdarzenie, które może się nie wydarzyć (tj. konieczność Banku obrony przed roszczeniami skarżącego czy też cesjonariusza, czy chęć wystąpienia z roszczeniami wobec nich) stanowi oczywistą dysproporcję pomiędzy interesem Banku a podstawowymi prawami i wolnościami skarżącego.
Po trzecie – w wyroku NSA z 8 stycznia 2025 r. (sygn. akt III OSK 4868/21) trafnie wskazano, że przetwarzanie danych osobowych byłych klientów przez banki do celów dochodzenia ewentualnych roszczeń, bądź obrony przed nimi, nie znajduje oparcia w przepisach RODO, w tym w art. 6 ust. 1 lit. f. We wskazanej sprawie, jako podstawę aktualnego przetwarzania danych osobowych wnioskodawców, Bank wskazał zabezpieczenie swoich interesów w przypadku dochodzenia przez wnioskodawców ewentualnych roszczeń. Jednak zebrany przez organ w toku postępowania administracyjnego materiał dowodowy nie wykazał, by wnioskodawcy wystąpili wobec Banku z jakimkolwiek roszczeniem, które uprawniłoby bank do zachowania i przetwarzania ich danych osobowych dla celów dowodowych w związku z dochodzeniem przez nich tego roszczenia. Zatem podobnie jak w sprawie niniejszej, uznano, że brak było spełnienia wskazywanej przez Bank przesłanki "niezbędności" do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie do przetwarzania danych osobowych. Przesłanka z art. 6 ust 1 lit. f RODO dotyczy bowiem sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości. NSA w składzie niniejszym w pełni podziela wskazaną tezę, ale teza taka powinna być weryfikowana zawsze w odniesieniu do konkretnego przypadku. Nie można bowiem wykluczyć przypadków, że przetwarzanie danych osobowych przez administratora do czasu wystąpienia przez którąkolwiek ze stron z roszczeniem na drogę sądową, lub do czasu przedawnienia tego roszczenia, będzie zgodne z art. 6 ust. 1 lit. f RODO. Celem administratora wynikającym z jego prawnie uzasadnionych interesów będzie zabezpieczenie się na wypadek konieczności wejścia w spór sądowy. Kwestia ta wymaga sformułowania ocen prawnych z uwzględnieniem uwarunkowań cechujących konkretną relację łączącą – w analizowanym przypadku – skarżącego i Bank (np. w przypadku występowania klauzul abuzywnych). W niniejszej sprawie taka sytuacja nie wystąpiła. Z akt sprawy nie wynika, aby skarżący w jakimkolwiek stopniu podważał postanowienia pierwotnie zawartej umowy pożyczki, czy też wskazywał na np. wady oświadczenia woli lub też aby nabywca wierzytelności kwestionował jej ważność lub skuteczność.
Po czwarte - zasadność zarzutu skarżącego kasacyjnie w kwestii nieprawidłowej wykładni art. 6 ust. 1 lit. f RODO przez Sąd I instancji, poprzez uznanie, że przetwarzanie danych osobowych na wypadek ewentualnych, przyszłych i niepewnych roszczeń stanowi uzasadniony interes prawny administratora, o ile przetwarzanie to odbywa się w terminach przedawnienia roszczeń uregulowanych w art. 118 k.c. potwierdza również okoliczność istnienia w aktualnym stanie prawnym przepisów, które zobowiązują niektóre podmioty do przetwarzania danych osobowych przez okres przedawnienia roszczeń z tytułu zawartych umów. Wskazać trzeba, że zgodnie z art. 29 ust. 10 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz.U. z 2021 r. poz. 1130 ze zm.) zakład ubezpieczeń przechowuje informacje i dokumenty, o których mowa w ust. 6 (tj. informacje i dokumenty gromadzone w celu ustalenia odpowiedzialności zakładu ubezpieczeń lub wysokości odszkodowania lub świadczenia) do czasu upływu terminu przedawnienia roszczeń z umowy ubezpieczenia. Czyli we wskazanej regulacji ustawodawca wprowadził w tym zakresie odpowiednią (wyraźną a nie domniemaną) podstawę prawną. Biorąc pod uwagę zasadę "racjonalnego ustawodawcy", to w sytuacji, gdyby intencją ustawodawcy było to, aby wszyscy przedsiębiorcy byli uprawnieni do przechowywania danych osobowych byłego klienta przez czas przedawnienia roszczeń w celu ustalenia odpowiedzialności lub wysokości odszkodowania – to takie regulacje byłyby wprowadzone wprost do polskiego systemu prawnego w sposób systemowy. Zatem gdyby banki były uprawnione do przechowywania danych osobowych byłych klientów przez cały czas przedawnienia roszczeń to taka regulacja zostałaby wprowadzona do polskiego systemu prawnego przepisy analogiczne jak w przypadku zakładów ubezpieczeń. W przypadku banków dotychczas taki obowiązek nie został jednakże przewidziany. Założenie racjonalności prawodawcy jest nie tylko konstruktem teoretycznym, lecz ma znaczenie przy ocenie aktów prawnych i ich interpretacji. Tekst aktu prawodawczego służy ustawodawcy do sformułowania określonych norm postępowania świadczących o tym, że prawodawca zna i uwzględnia reguły języka danej społeczności, a jeśli od nich odstępuje odpowiednio to zaznacza, np. przez definicje legalne. Przyjmuje się, że prawodawca formułuje takie normy, które według jego wiedzy w danym układzie społecznym nadają się do tego, by wpływać na zachowanie adresatów. Nie ustanawia norm niezgodnych między sobą. Postępowanie adresatów zgodne z ustanawianymi normami prowadzi – według jego wiedzy – do rezultatów optymalnych, a w każdym razie aprobowanych na gruncie przypisywanego prawodawcy systemu wartości (por. M. Augustyniak, Zasady racjonalnego prawodawcy w kontekście teorii i praktyki prawniczej, Aktualne problemy prawa, tom 1, nr 4, kwiecień 2020, s. 37-41).
Po piąte - w realiach niniejszej sprawy za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie można uznać przetwarzania danych osobowych przez Bank w celu ustalenia, dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby skarżący czy też cesjonariusz wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia. Bank również nie wskazał na istnienie roszczeń, których dochodziłby od jakichkolwiek podmiotów. Przesłanka określona w art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej (aktualnej) a nie sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym, przyszłym i niepewnym roszczeniem.
Po szóste – przykładowo, w orzecznictwie wskazuje się na to, że: a) brak jest dopuszczalności przetwarzania danych osobowych przez bank, w sytuacji gdy klient złożył wniosek kredytowy, ale ostatecznie nie zawarł z bankiem żadnej umowy, a więc nie łączył go z bankiem żaden stosunek prawny, który mógłby stanowić źródło przyszłych roszczeń (por. wyrok NSA z 6 marca 2019 r., sygn. I OSK 994/17); b) przetwarzanie danych osobowych osób, które cofnęły zgodę nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Bank a w szczególności celu, którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych w celu obsługi wniosku kredytowego (por. wyrok NSA z 27 marca 2018 r., sygn. I OSK 1459/16; w sprawie chodziło o przetwarzanie danych osobowych uzyskanych przez formularze kontaktowe znajdujące się na stronie internetowej banku). Z drugiej strony wskazać trzeba na wyroki NSA, gdzie wskazano, że: "(...) zaprzestanie przetwarzania danych osobowych osoby, która negatywnie przeszła proces rekrutacyjny i tym samym wyzbycie się przez pracodawcę wszelkich dokumentów i danych identyfikujących oraz pozycjonujących tę osobę w tym procesie, może uniemożliwić lub znacznie utrudnić mu skuteczną obronę przed postawionymi przed sądem zarzutami dyskryminacyjnymi". Sąd wskazał w tym zakresie na szczególne przepisy wynikające z art. 183b § 1 pkt 1 i art. 183d k.p. (por. wyrok NSA z 20 lutego 2024 r. sygn. akt III OSK 270/22). W innym wyroku NSA uznał, że "(...) z wykonaniem umowy najmu samochodu pierwotny cel przetwarzania danych osobowych został skonsumowany, co nie oznacza jednak, że dalsze ich przetwarzania a limine należy ocenić, jako nieuprawnione (...) przetwarzanie danych osobowych uzyskanych w procesie zawarcia i wykonania umowy, celem zabezpieczenia uzasadnionych prawnych interesów administratora oraz skarżącego na wypadek ewentualnego postępowania sądowego w przedmiocie dochodzenia roszczeń z tytułu umowy najmu samochodu może mieć podstawę w treści art. 6 ust. 1 lit. f RODO (...). W analizowanej sprawie NSA wskazał, że "(...) nie istniały zatem cele administratora wynikające z jego prawnie uzasadnionych interesów, które w tych okolicznościach faktycznych i prawnych nakazywałyby mu zabezpieczenie się na wypadek konieczności wejścia w spór sądowy. Okoliczności takich nie była skądinąd w stanie wskazać sama spółka wynajmująca samochody" (por. wyrok NSA z 5 lutego 2025 r., sygn. akt III OSK 6553/21).
Podsumowując, można uznać, że zakres stosowania art. 6 ust. 1 lit. f RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie (tj. "niezbędność" takiego przetwarzania) powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem a osobą, której dotyczą przetwarzane dane.
4. Uwzględniając powyższe rozważania oraz uznając, że istota sprawy jest dostatecznie wyjaśniona, Naczelny Sąd Administracyjny, na podstawie art. 188 p.p.s.a. i art. 151 p.p.s.a., orzekł o uchyleniu zaskarżonego wyroku i oddaleniu skargi Banku na decyzję PUODO. O kosztach postępowania kasacyjnego orzeczono na podstawie art. 203 pkt 2 p.p.s.a. w zw. z art. 205 § 2 p.p.s.a.