III OSK 2672/23
Podsumowanie
Przejdź do pełnego tekstuNaczelny Sąd Administracyjny (NSA) rozpoznał skargę kasacyjną banku dotyczącą przetwarzania danych osobowych byłej klientki. Sprawa wywodzi się ze skargi klientki na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), która nakazała bankowi zaprzestanie przetwarzania jej danych osobowych związanych z umową kredytową po jej spłacie. Klientka zarzuciła, że bank nadal przetwarza jej dane w Biurze Informacji Kredytowej (BIK) bez podstawy prawnej, mimo ustania relacji i spłaty zobowiązania. Bank twierdził, że poinformował klientkę o zamiarze przetwarzania danych na podstawie art. 105a ust. 3 Prawa bankowego i że dane te są również przetwarzane w celu obrony przed ewentualnymi roszczeniami na podstawie art. 6 ust. 1 lit. f RODO. Wojewódzki Sąd Administracyjny (WSA) oddalił skargę banku, a NSA w wyroku z 17 grudnia 2024 r. utrzymał to rozstrzygnięcie w mocy. NSA uznał, że bank nie wykazał skutecznego poinformowania klientki o zamiarze przetwarzania jej danych bez zgody, co jest warunkiem zastosowania art. 105a ust. 3 Prawa bankowego. Sąd podkreślił, że samo wysłanie listu poleconego nie jest wystarczające do udowodnienia momentu poinformowania, a bank musi wykazać, że klientka mogła zapoznać się z treścią informacji. Ponadto, NSA odrzucił argumentację banku dotyczącą przetwarzania danych w celu obrony przed hipotetycznymi przyszłymi roszczeniami, stwierdzając, że nie stanowi to prawnie uzasadnionego interesu administratora w rozumieniu art. 6 ust. 1 lit. f RODO, zwłaszcza gdy interesy i prawa osoby, której dane dotyczą, są nadrzędne. Sąd podkreślił, że przetwarzanie danych musi być niezbędne do realizacji istniejącego interesu, a nie zabezpieczeniem na przyszłość.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaInterpretacja obowiązku informacyjnego banku przed przetwarzaniem danych dłużnika bez zgody oraz stosowanie przesłanki prawnie uzasadnionego interesu administratora w RODO.
Dotyczy specyficznej sytuacji przetwarzania danych po spłacie zobowiązania w kontekście Prawa bankowego i RODO.
Zagadnienia prawne (2)
Czy wysłanie listu poleconego z informacją o zamiarze przetwarzania danych osobowych bez zgody jest wystarczające do uznania spełnienia obowiązku informacyjnego na gruncie art. 105a ust. 3 Prawa bankowego?Ratio decidendi
Odpowiedź sądu
Nie, samo potwierdzenie nadania listu poleconego nie stanowi dowodu skutecznego poinformowania klienta o zamiarze przetwarzania jego danych osobowych bez jego zgody, co jest warunkiem zastosowania art. 105a ust. 3 Prawa bankowego. Bank musi wykazać, że klient mógł zapoznać się z treścią informacji, co pozwala na ustalenie początku biegu 30-dniowego terminu.
Uzasadnienie
Sąd uznał, że obowiązek informacyjny na gruncie art. 105a ust. 3 Prawa bankowego ma charakter materialny, a nie formalny. Bank, wywodząc z tego przepisu skutki prawne, musi wykazać, że klient został skutecznie poinformowany, co umożliwia ustalenie początku biegu 30-dniowego terminu na spłatę zaległości. Samo nadanie listu poleconego nie jest wystarczające do udowodnienia tego faktu.
Czy przetwarzanie danych osobowych przez bank przez okres przedawnienia roszczeń, w celu obrony przed hipotetycznymi przyszłymi roszczeniami, stanowi prawnie uzasadniony interes administratora na gruncie art. 6 ust. 1 lit. f RODO?Ratio decidendi
Odpowiedź sądu
Nie, przetwarzanie danych osobowych w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem, które obecnie nie istnieje, nie stanowi prawnie uzasadnionego interesu administratora w rozumieniu art. 6 ust. 1 lit. f RODO, zwłaszcza gdy interesy i podstawowe prawa osoby, której dane dotyczą, są nadrzędne.
Uzasadnienie
Sąd podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której istnieje potrzeba dochodzenia lub obrony przed roszczeniem. Przetwarzanie danych 'na zapas' w celu zabezpieczenia się przed potencjalnymi przyszłymi roszczeniami nie jest niezbędne i nie może być uznane za prawnie uzasadniony interes, szczególnie gdy interesy i prawa osoby, której dane dotyczą (np. prawo do prywatności), są nadrzędne.
Przepisy (12)
Główne
Prawo bankowe art. 105a § 3
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe
RODO art. 6 § 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Pomocnicze
p.p.s.a. art. 134 § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
k.p.a. art. 6
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 7
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 8 § 1 i 2
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 77 § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 107 § 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
k.c. art. 61 § 1
Ustawa z dnia 23 kwietnia 1964 Kodeks cywilny
k.c. art. 118
Ustawa z dnia 23 kwietnia 1964 Kodeks cywilny
Argumenty
Skuteczne argumenty
Bank nie wykazał skutecznego poinformowania klienta o zamiarze przetwarzania danych osobowych bez zgody, co jest warunkiem zastosowania art. 105a ust. 3 Prawa bankowego. • Przetwarzanie danych w celu obrony przed hipotetycznymi przyszłymi roszczeniami nie stanowi prawnie uzasadnionego interesu administratora na gruncie art. 6 ust. 1 lit. f RODO, gdy interesy osoby, której dane dotyczą, są nadrzędne.
Odrzucone argumenty
Bank argumentował, że wysłanie listu poleconego było wystarczające do spełnienia obowiązku informacyjnego. • Bank twierdził, że przetwarzanie danych przez okres przedawnienia roszczeń w celu obrony przed nimi stanowi prawnie uzasadniony interes.
Godne uwagi sformułowania
Bank musi wykazać, że bezskutecznie upłynęło 30 dni od daty poinformowania strony o tym zamiarze. • Przetwarzanie danych 'na zapas', aby zabezpieczyć się przed ewentualnym przyszłym i niepewnym roszczeniem, które obecnie nie istnieje, nie jest prawnie uzasadnionym interesem.
Skład orzekający
Małgorzata Masternak - Kubiak
przewodniczący
Mariusz Kotulski
sprawozdawca
Zbigniew Ślusarczyk
członek
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Interpretacja obowiązku informacyjnego banku przed przetwarzaniem danych dłużnika bez zgody oraz stosowanie przesłanki prawnie uzasadnionego interesu administratora w RODO."
Ograniczenia: Dotyczy specyficznej sytuacji przetwarzania danych po spłacie zobowiązania w kontekście Prawa bankowego i RODO.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy ważnych kwestii ochrony danych osobowych w sektorze bankowym, w tym interpretacji przepisów Prawa bankowego i RODO, co jest istotne dla prawników i konsumentów.
“Bank nie wykazał, że poinformował klienta o przetwarzaniu danych po spłacie kredytu – NSA wyjaśnia obowiązki.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.