Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodnicząca sędzia NSA Tamara Dziełakowska (spr.) Sędziowie: sędzia NSA Rafał Stasikowski sędzia del. WSA Hanna Knysiak-Sudyka Protokolant asystent sędziego Adam Płusa po rozpoznaniu w dniu 1 października 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 grudnia 2021 r. sygn. akt II SA/Wa 1528/21 w sprawie ze skargi M. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 9 lutego 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok w części dotyczącej uchylenia pkt 3 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 9 lutego 2021 r. i w tym zakresie skargę oddala, 2. w pozostałym zakresie oddala skargę kasacyjną, 3. znosi wzajemnie między stronami koszty postępowania kasacyjnego.

Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych (dalej: organ lub PUODO) zostało zainicjowane skargą Ł.M. (dalej: uczestnik) na nieprawidłowości w przetwarzaniu jego danych osobowych przez M. S.A. z siedzibą w W. (dalej bank) polegające na przetwarzaniu jego danych bez podstawy prawnej.

W toku prowadzonego postępowania organ ustalił, że bank przetwarza dane osobowe uczestnika pozyskane bezpośrednio od niego, w związku z zamkniętymi produktami: umową o prowadzenie bankowych rachunków oszczędnościowych i umową o prowadzenie kredytu odnawialnego, co do których uczestnik złożył 20 grudnia 2019 r. wypowiedzenie. Z wyjaśnień banku wynikało, że proces przetwarzania danych po wygaśnięciu ww. umów z dniem 28 lutego 2020 r. odbywa się na podstawie przesłanki określonej w art. 6 ust. 1 lit f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (Dz. Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO" w zw. z art. 118 Kodeksu cywilnego i jest niezbędny w celu dochodzenia lub obrony przed roszczeniami po zakończeniu umowy. Dodatkowo bank wyjaśnił, że w wyniku błędu jego pracownika w systemie bankowym nie odnotowano wypowiedzenia przez uczestnika prolongaty kredytu odnawialnego w wyniku czego naliczono mu niesłusznie w styczniu 2019 r. opłatę za odnowienie ww. kredytu i zaksięgowano na rachunku uczestnika. Informację o tej zaległości w spłacie bank 5 marca 2019 r. przekazał do Biura Informacji Kredytowej S.A. W dniach od 6 do 14 marca 2019 r. bank kontaktował się z uczestnikiem pod adresem mailowym [1] informując go o powstałym na jego rachunku zadłużeniu i konieczności jego uregulowania. Na podstawie zgłoszenia uczestnika bank zarejestrował reklamację w przedmiotowej sprawie, która została rozpatrzona pozytywnie i bezpodstawnie naliczona uczestnikowi opłata została anulowana, a 24 lipca 2019 r. wprowadzono korektę i usunięto błędny zapis dotyczący opóźnienia w spłacie z BIK. W związku z pomyłką banku uczestnik występował w systemie bankowym jako aktywny klient do 5 lipca 2019 r., więc bank kontaktował się z nim w dniu 28 czerwca 2019 r. w celu aktualizacji danych jego dowodu osobistego. W związku z powyższym uczestnik 1 lipca 2019 r. za pośrednictwem adresu poczty elektronicznej [2], podając swoje imię i nazwisko, zwrócił się do banku na adres [3] o wskazanie podstawy żądania i celu aktualizacji swoich danych osobowych przez bank. Jednocześnie zażądał przedstawienia zgody na przetwarzanie jego danych po zakończeniu umowy łączącej go z bankiem. Bank odmówił udzielenia żądanych informacji tłumacząc, że przedstawione dane osobowe nie pozwalają na identyfikację uczestnika jako klienta banku.

Oceniając powyższe działania banku organ uznał, że przetwarzanie danych osobowych uczestnika w okresie od dnia 1 marca 2019 r. do dnia 5 lipca 2019 r. stanowiło naruszenie przepisów o ochronie danych osobowych. Bank wskazywał, że przetwarzanie danych osobowych uczestnika miało miejsce w celu realizacji zawartych z nim umów o produkty bankowe, a tym samym odbywało się w oparciu o art. 6 ust. 1 lit. b RODO. Jednakże skoro ww. umowy wygasły w dniu 28 lutego 2019 r. to tym samym odpadła przesłanka legalizująca ich przetwarzanie.

Odnosząc się do przekazania przez bank danych uczestnika do BIK organ wskazał na treść art. 105a ust. 1-3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896 ze zm.) dalej jako "Prawo bankowe", określającego zasady przetwarzania danych objętych tajemnicą bankową. Zgodnie z powołanym przepisem przetwarzanie danych przez banki i inne wskazane instytucje w zakresie dotyczącym osób fizycznych może być wykonywane z pewnymi zastrzeżeniami w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Do przetwarzania danych na tej podstawie nie jest wymagana zgoda osoby, której dane są przetwarzane. Natomiast po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów zgoda jest wymagana (art. 105a ust. 2 Prawo bankowe). Wyjątkiem od powyższego jest jedynie sytuacja, gdy osoba, której przetwarzanie danych dotyczy, nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną wskazaną instytucją, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną wskazaną instytucję o zamiarze przetwarzania dotyczących jej informacji bez jej zgody (art. 105a ust. 3 Prawa bankowego). Żadna z powyższych podstaw nie zaistniała w niniejszej sprawie, bowiem od dnia wypowiedzenia umowy przez uczestnika bank nie był upoważniony do przetwarzania, w tym w systemach BIK, danych osobowych uczestnika.

Odnosząc się do stanowiska organu Bank wskazał, że obecnie przetwarza dane osobowe uczestnika na podstawie art. 6 ust. 1 lit. f RODO, w związku z art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2020, poz. 1740 ze zm.), dalej "k.c." w celu dochodzenia roszczeń. Organ w decyzji stwierdził, że nie wykazano aby bank wystąpił do uczestnika z jakimkolwiek roszczeniem, bądź też aby uczestnik skierował roszczenie wobec banku, które uzasadniałyby uprawnienie banku do zachowania i przetwarzania jego danych osobowych dla ww. celów.

Na koniec organ zauważył, że zgodnie z art. 15 ust. 1 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz uzyskania informacji, określonych w tym przepisie. Zauważono jednak, że bank kontaktował się z uczestnikiem w związku z dochodzeniem nienależnej wierzytelności za pośrednictwem adresu mailowego [1], natomiast uczestnik zwracając się do banku w trybie art. 15 ust. 1 RODO posłużył się adresem mailowym [2] podając jedynie imię i nazwisko. W ocenie organu zatem bank mógł mieć wątpliwości co do tożsamości uczestnika i w rezultacie odmówić poinformowania go o przetwarzaniu jego danych osobowych.

Reasumując organ uznał, że bank przetwarzał dane osobowe uczestnika bez podstawy prawnej, z naruszeniem art. 6 ust. 1 RODO w celu realizacji umowy kredytu odnawialnego w terminie od 1 marca 2019 r. do 5 lipca 2019 r., w terminie od 1 marca 2019 r. do 28 czerwca 2019 r. w celu dochodzenia nienależnego roszczenia, a także w zakresie dotyczącym kredytu odnawialnego w BIK w terminie od 5 marca 2019 r. do 24 lipca 2019 r. Z tego względu organ udzielił bankowi upomnień, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO (pkt 1 i 2 decyzji). W zakresie natomiast obecnego procesu przetwarzania danych osobowych uczestnika przez bank, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. g RODO, organ nakazał bankowi usunięcie danych osobowych uczestnika (pkt 3 decyzji). Natomiast w kontekście obowiązku informacyjnego określonego w art. 15 RODO, organ odmówił uwzględnienia wniosku w tym zakresie (pkt 4 decyzji).

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 13 grudnia 2021 r. sygn. akt II SA/Wa 1528/21 na podstawie art. 145 § 1 pkt 1 lit. a i b oraz art. 200 w zw. z art. 205 § 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm.) dalej "p.p.s.a.", uchylił decyzję w zaskarżonej części tj. w punktach 1-3 oraz zasądził od organu na rzecz banku zwrot kosztów postępowania. W uzasadnieniu orzeczenia Sąd wskazał, że sprawa wymaga rozstrzygnięcia dwóch problemów, tj. nałożenia na Bank sankcji w postaci upomnienia (pkt 1-2 decyzji) oraz zastosowania przez organ uprawnień naprawczych w postaci nakazu usunięcia wszelkich danych uczestnika (pkt 3 decyzji).

Odnosząc się do problemu nakazu usunięcia danych uczestnika Sąd stwierdził, że organ mylnie przyjął, jakoby w ogóle nie było podstaw dla dalszego przetwarzania danych osobowych uczestnika wobec uprzedniego rozwiązania umowy i braku aktualnie sporów, co do zobowiązań między nim, a bankiem. Przepis art. 6 ust. 1 lit. f RODO stanowi podstawę przetwarzania, gdy jest to niezbędne dla celów, wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora, a interesów tych można upatrywać w przepisach prawa krajowego dotyczących przedawnienia roszczeń z tytułu umów. Z takich przepisów wynika bowiem możliwość skutecznego dochodzenia roszczeń przez obie strony umów przez określony czas. Nie można uznać, że art. 105a Prawa bankowego stanowi w tym przypadku lex specialis wyłączające uprawnienia wynikające z ogólnych reguł k.c. w kwestii przedawnienia roszczeń bądź je modyfikującym. Tym samym uznanie, że rozwiązanie umowy przez bank skutkuje automatycznym obowiązkiem usunięcia danych uczestnika, wyłączałoby w istocie prawo realizacji potencjalnych roszczeń jeszcze przed jego przedawnieniem. W ocenie Sądu obowiązku takiego nie sposób też wywieźć z art. 17 RODO ustanawiającym tzw. "prawo do bycia zapomnianym" w związku z wyłączeniem zawartym w ust. 3 lit. e – dla ewentualnego ustalenia roszczeń bądź ich dochodzenia lub obrony. W związku z powyższym, jako że treść art. 6 ust. 1 lit. f RODO pozwalała na przetwarzanie danych uczestnika, to w ocenie Sądu pierwszej instancji nie były istotne inne zarzuty jakoby proces przetwarzania po wygaśnięciu zobowiązania uzasadniały regulacje ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (Dz. U. z 2019 r., poz. 2279), ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2020 r., poz. 971), ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r., poz. 217) czy rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L.2013, Nr 176 str. 1). Podsumowując ten wątek Sąd pierwszej instancji podkreślił, że na dzień orzekania istniały w sprawie przesłanki dalszego przetwarzania danych uczestnika dla celów realizacji przyszłych nieprzedawnionych jeszcze roszczeń w związku z faktem, że umowa łącząca uczestnika z bankiem została rozwiązana 28 lutego 2019 r., a termin przedawnienia tego roszczenia określa art. 118 k.c. Nie było więc podstaw do nałożenia obowiązku usunięcia danych na podstawie art. 58 ust. 1 lit. g RODO.

Odnosząc się do materii zastosowanych przez organ środków sankcyjnych Sąd stwierdził, że wszelkie działania banku stanowiły następstwa naruszenia reguł, dotyczących właściwej obsługi uczestnika w ramach działania określonej instytucji finansowej. Nie sposób uznać, że przepisy o ochronie danych osobowych mają w niniejszej sprawie służyć jako alternatywny i konkurencyjny mechanizm, służący egzekwowaniu odpowiedniej staranności w relacjach gospodarczych, gdy następstwem błędu jest zbędne przetworzenie danych osobowych. Nie można więc tego przypadku traktować jako naruszenia przepisów RODO. Tym samym, organ nie był uprawniony do zastosowania sankcji w postaci upomnienia, bowiem nie służyła ona stricte egzekwowaniu przepisów o ochronie danych osobowych, a tym samym uchybiono treści art. 58 ust. 2 lit. b w zw. z art. 57 ust. 1 lit. a RODO poprzez niewłaściwe zastosowanie tych przepisów.

Dodatkowo Sąd pierwszej instancji odniósł się też do faktu przetworzenia przez bank danych osobowych uczestnika wobec ich przekazanie do BIK i uznał, że w tym zakresie uznano, że organ bezpodstawnie odstąpił od szczegółowego ustalenia czy bank działał właściwie w celu usunięcia stosownych danych osobowych uczestnika z baz BIK w związku z uprzednim przesłaniem błędnej informacji o nieuregulowaniu należności. Kwestia ta jest natomiast o tyle istotna, że może mieć wpływ na wynik sprawy w kontekście oceny, czy w działaniach banku doszło do uchybień.

Skargę kasacyjną od powyższego wyroku wniósł Prezes Urzędu Ochrony Danych Osobowych żądając na podstawie art. 188 p.p.s.a. uchylenia w całości zaskarżonego wyroku i oddalenia skargi banku w przypadku uznania, że sprawa jest dostatecznie wyjaśniona, ewentualnie na podstawie art. 185 § 1 p.p.s.a. uchylenia w całości zaskarżonego wyroku i przekazania sprawy do ponownego rozpoznania Sądowi pierwszej instancji oraz zasądzenia zwrotu kosztów postępowania na rzecz organu. Organ wniósł również o rozpoznanie sprawy na rozprawie. Zaskarżonemu wyrokowi zarzucono:

1) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7, art. 77 § 1, art. 80 k.p.a., w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, poprzez błędne uznanie, że organ nie zbadał niniejszej sprawy w sposób właściwy, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji,

2) naruszenie przepisów prawa materialnego, tj. 6 ust. 1 lit. f RODO, polegające na jego nieprawidłowej wykładni poprzez uznanie, że przetwarzanie danych osobowych na wypadek ewentualnych, przyszłych i niepewnych roszczeń stanowi uzasadniony interes prawny administratora, o ile przetwarzanie to odbywa się w terminach przedawnienia roszczeń uregulowanych w art. 118 k.c., co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji w punkcie 3,

3) naruszenie przepisów prawa materialnego mające istotny wpływ na wynik sprawy, tj. art. 58 ust. 2 lit. b w zw. z art. 57 ust. 1 lit. a RODO, tj. poprzez uznanie, iż Prezes Urzędu Ochrony Danych Osobowych nie jest organem właściwym do rozstrzygania w zakresie nieprawidłowości w procesie przetwarzania danych osobowych uczestnika, ponieważ były one następstwem błędu popełnionego przez pracownika banku, co w ocenie sądu nie pozwala zakwalifikować takich nieprawidłowości jako naruszenia przepisów dotyczących ochrony danych osobowych przez bank będący administratorem, a w rezultacie uniemożliwia zastosowanie przez organ nadzorczy środków naprawczych wobec tego administratora co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji w punktach 1 i 2.

W uzasadnieniu skargi kasacyjnej organ podkreślił, że w jego ocenie brak jest podstaw do uznania, że przetwarzanie danych osobowych uczestnika przez bank uzasadniają cele gospodarcze w okresie, gdy możliwe jest realnie dochodzenie roszczeń przez obie strony umowy. Zauważyć bowiem trzeba, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, bowiem nie wpływa na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych. Nie można też utożsamiać przetwarzania danych w celu dochodzenia roszczenia oraz obrony przed istniejącymi roszczeniami z przetwarzaniem na wypadek ewentualnego zaistnienia takich roszczeń w przyszłości. Przepis art. 6 ust. 1 lit. f RODO dotyczy jedynie sytuacji już istniejących, a przetwarzanie danych osobowych "na zapas" nie ma podstaw prawnych. Organ podkreślił, że Sąd pierwszej instancji niezasadnie odszedł w zaskarżonym orzeczeniu od ukształtowanej linii orzeczniczej, zgodnie z którą to kwestia ewentualności przyszłych roszczeń jest kluczowa w uzasadnieniu możliwości przetwarzania danych osobowych. Co więcej organ zauważył, że przesłanka określona w art. 6 ust. 1 lit. f RODO pozwalająca na przetwarzanie danych osobowych, nie jest ukierunkowana na ochronę interesów sektora gospodarczego. Legalność przetwarzania uzależniona jest w tym przypadku od tego, czy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. W przedmiotowej sprawie Sąd pierwszej instancji stwierdził natomiast, że przetwarzanie danych "na wszelki wypadek" nie mogło być interesem nadrzędnym wobec praw i wolności jednostki. Ponadto zwrócono uwagę, że brak jest przepisów, które zobowiązywałyby niektóre podmioty do przetwarzania danych osobowych przez okres przedawnienia roszczeń z tytułu zawartych umów w przypadku umów bankowych, co należy rozumieć jako brak takiej intencji ze strony ustawodawcy.

W odpowiedzi na skargę kasacyjną bank wniósł o jej oddalenie i zasądzenie na swoją rzecz kosztów postępowania oraz rozpoznania skargi kasacyjnej na rozprawie. W uzasadnieniu podzielono stanowisko zaprezentowane w zaskarżonym orzeczeniu. W kontekście nakazu usunięcia danych osobowych bank uznał, że przechowywanie danych osobowych przez okres przedawnienia nie może być traktowane jako przechowywanie "na zapas", bowiem usunięcie danych kontrahenta wyłączałoby jego prawa realizacji potencjalnych roszczeń przed jego przedawnieniem. Bank odwołał się do pojęć prawa podmiotowego oraz uprawnienia i wskazał, że interpretacja przyjęta przez organ prowadzi do sytuacji, w której przestaje być możliwa realizacja prawa podmiotowego przez obie strony stosunku cywilnoprawnego, bowiem nie jest możliwa weryfikacja zasadności roszczenia bez danych klienta banku, który uprzednio usunął wszystkie dane osobowe klienta.

Odnosząc się do kwestii przetwarzania danych osobowych uczestnika wskutek błędu banku uznano, że nie świadczy to automatycznie o przetwarzaniu niezgodnie z przepisami RODO. Upomnienie nie spełnia bowiem swojej roli w sytuacji, gdy jego nałożenie jest oderwane od naruszenia, tak jak w niniejszej sprawie, bowiem wynika z ludzkiego błędu. Co więcej bank podkreślił, że wbrew twierdzeniom organu, Sąd pierwszej instancji uznał, że nie wykazano, aby zachodziły nieprawidłowości w systemie przetwarzania danych osobowych uczestnika, które mogłyby być przesłanką udzielenia upomnienia.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna jest częściowo zasadna.

Na początek należy zauważyć, że w ramach zarzutu naruszenia prawa procesowego powołano art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7, art. 77 § 1, art. 80 k.p.a., w zw. z art. 7 ust. 1 u.o.d.o. Organ naruszenia upatruje w błędnym uznaniu, że sprawa nie została właściwie zbadana, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji.

W tym zakresie Naczelny Sąd Administracyjny podziela stanowisko organu, zgodnie z którym "organ obowiązany jest z urzędu stwierdzić, jakie dowody są niezbędne w danej sprawie oraz także z urzędu dowody te przeprowadzić, jednak obowiązek wyczerpującego zebrania i zbadania całego materiału dowodowego nie powoduje, iż strona postępowania zwolniona jest od współudziału w realizacji tego obowiązku. Przepis art. 7 Kpa przyznaje zatem inicjatywę w postępowaniu dowodowym także stronom". Po analizie akt administracyjnych sprawy nie sposób przyjąć, że doszło do wad w procesie ustalania stanu faktycznego. Bank nie wykazał jakich okoliczności nie ustalono, a które miałyby świadczyć o lukach w ustalonym stanie faktycznym. Okoliczność dotycząca błędu banku skutkującego dalszym przetwarzaniem danych osobowych uczestnika rozpoznana zostanie w ramach analizy zarzutów materialnych skargi kasacyjnej. W związku z powyższym zarzut ten nie mógł odnieść zamierzonego skutku.

W rozpoznawanej sprawie bank do dnia 29 lutego 2019 r. przetwarzał dane osobowe skarżącego na podstawie art. 6 ust. 1 lit. b RODO, bowiem było to niezbędne do wykonywania zawartej między stronami umowy. Natomiast na dzień wydania zaskarżonej decyzji PUODO jako podstawę dalszego przetwarzania bank wskazał art. 6 ust. 1 lit. f w zw. z art. 118 k.c. i takie przetwarzanie nie może zostać uznane za zgodne z prawem.

Pierwszy problem materialnoprawny występujący w sprawie dotyczy interpretacji i zastosowania art. 6 ust. 1 lit. f RODO, a dokładnie możliwości przetwarzania danych osobowych uczestnika w okresie przedawnienia roszczenia wynikającego z rozwiązanej już umowy łączącej uczestnika i bank. W tym zakresie Naczelny Sąd Administracyjny w pełni podziela stanowisko zaprezentowane w wyroku NSA z 10 lipca 2025 r. sygn. akt III OSK 1594/22, w którym to uznano, że art. 6 ust. 1 lit. f RODO dotyczy sytuacji "już istniejącej", w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

W doktrynie i orzecznictwie wyjaśnia się, że zastosowanie art. 6 ust. 1 lit. f RODO jest uzasadnione, gdy łącznie spełnione są następujące przesłanki: 1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne; 2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora; 3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane (por. wyrok NSA z 5 lutego 2025 r., sygn. akt III OSK 6553/21, CBOSA).

Celem przepisów o ochronie danych osobowych jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (por. wyrok NSA z 30 marca 2006 r., sygn. akt I OSK 628/05; wyrok NSA z 3 grudnia 2019 r., sygn. akt I OSK 920/18). Zagwarantowana w art. 51 Konstytucji RP autonomia informacyjna oznacza prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, jeśli znajdują się w posiadaniu innych podmiotów (por. wyrok TK z 19 lutego 2002 r., sygn. U 3/01). Konstytucja wyraża prawo jednostki do ochrony danych osobowych, w zakres którego wchodzi m.in. wymaganie ustawowej podstawy nałożenia obowiązku ujawnienia przez daną osobę informacji jej dotyczących (ust. 1), zakaz pozyskiwania, gromadzenia i udostępniania innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), prawo dostępu jednostki do dokumentów i zbiorów danych oraz żądania sprostowania bądź usunięcia danych nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (ust. 3 i 4). Powyższe rozwiązania oznaczają z jednej strony, że przesłanki legalizujące przetwarzanie danych osobowych powinny być wykładane w sposób zawężający, a postępowanie w sprawach związanych z wystąpieniem przesłanki pozwalającej na ujawnienie danych osobowych powinno zmierzać do tego, aby nie było wątpliwości co do wystąpienia możliwości przetwarzania danych osobowych przez dany podmiot (por. wyrok NSA z 20 stycznia 2021 r., sygn. akt III OSK 2986/21).

Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji (por. wyrok NSA z 20 lutego 2024 r., sygn. akt III OSK 2700/22). Pojęcie niezbędności należy rozumieć w podobny sposób jak na gruncie przepisu art. 6 ust. 1 lit. b RODO. Oznacza ono zatem, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne. Podobnie jak na gruncie przepisu art. 6 ust. 1 lit. b RODO, również tutaj musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych (D. Lubasz, W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 6). Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga więc od administratora wykazania, że jest to "konieczne" z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator będzie musiał wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasady minimalizacji przetwarzania danych (art. 5 ust. 1 lit. c RODO).

Drugą przesłanką przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest ustalenie, że cel, dla osiągnięcia którego przetwarzanie to jest niezbędne "wynika z prawnie uzasadnionych interesów realizowanych przez administratora (lub przez stronę trzecią)". Pod pojęciem tym rozumieć należy interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym. Odniesienia do tego pojęcia można szukać też w motywie 47 preambuły RODO, w którym prawodawca unijny stwierdził, że "[t]aki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu". Jako przykłady prawnie uzasadnionego interesu ustawodawca unijny podał m.in.: zapobieganie oszustwom oraz marketing bezpośredni (motyw 47 RODO), przetwarzanie w ramach grupy przedsiębiorców lub instytucji powiązanych do wewnętrznych celów administracyjnych (motyw 48 RODO) lub zapewnienie bezpieczeństwa sieci i informacji (motyw 49 RODO). Przy rekonstrukcji zakresu zastosowania art. 6 ust. 1 lit. f RODO motyw 47 preambuły RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Zgodnie z powyższym nie można uznać, że każdy interes administratora danych ma "uzasadniony" charakter.

Trzecia przesłanka stanowi o ważeniu interesów administratora i osoby, której dane są przetwarzane. Jest to swoista przesłanka negatywna, bowiem stwierdzenie występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej uniemożliwia przetwarzanie danych osobowych tej osoby na podstawie art. 6 ust. 1 lit. f RODO. W gestii podmiotu przetwarzającego jest zatem przeprowadzenia swego rodzaju "testu ważenia interesu" swojego, który powinien być niezbędny i usprawiedliwiony, oraz praw i wolności osoby, której dane dotyczą. Dopiero stwierdzenie, że interesy przetwarzającego są ważniejsze pozwala na legalne przetwarzanie danych (P. Szustakiewicz, Przetwarzanie danych kandydata na pracownika po zakończeniu procesu rekrutacji. Glosa do wyroku Naczelnego Sądu Administracyjnego z 20.02.2024 r., III OSK 2700/22, PPP 2024, nr 9, s. 116-125). Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której nie ma rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.

Przenosząc powyższe rozważania na niniejszą sprawę należy stwierdzić, że stanowisko Sądu pierwszej instancji nie zasługuje na aprobatę. Słusznie powołał organ w zaskarżonej decyzji, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają równocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank na wypadek zaistnienia takich roszczeń w przyszłości. Zgodnie ze skargą kasacyjną "przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym". Zobowiązanie na skutek przedawnienia przekształca się w naturalne (por. wyrok SN z 9 lutego 2018 r., sygn. akt I CSK 246/17). Jak wskazał SN w postanowieniu z 18 czerwca 2015 r., sygn. akt III CZ 27/15: "(...) roszczenie to możliwość domagania się od konkretnej osoby, aby w stosunku do uprawnionego zachowała się w ten sposób, że spełni na jej rzecz świadczenie pieniężne lub niepieniężne, wykona pewną czynność, powstrzyma się od jakiegoś działania lub zniesie działanie uprawnionego. Powstaje ono w następstwie zaistnienia w relacjach między uprawnionym i zobowiązanym faktów, z którymi przepisy prawa wiążą konsekwencje determinujące treść poszczególnych roszczeń". Oznacza to, że zobowiązanie nadal istnieje a wierzyciel może podejmować szereg innych czynności windykacyjnych zmierzających do pozasądowej regulacji zobowiązania. Nie można natomiast utożsamiać ze sobą przetwarzania danych w celu dochodzenia roszczeń oraz obrony przed istniejącymi roszczeniami z przetwarzaniem na wypadek ewentualnego zaistnienia takich roszczeń w przyszłości. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego. Zgodnie z powyższym znaczenie przy ocenie zasadności przetwarzania na mocy art. 6 ust. 1 lit. f RODO ma właśnie "ewentualność" dochodzenia roszczenia lub obrony przed nimi, co zostało już w orzecznictwie sądów administracyjnych zauważone (m.in. wyrok NSA z 27 marca 2018 r., sygn. akt I OSK 1459/16 lub wyrok NSA z 10 lipca 2025 r., sygn. akt III OSK 1594/22).

Akceptacja przetwarzania danych osobowych "na zapas" z uwagi na niepewne przyszłe zdarzenie jakim jest ewentualne zgłoszenie roszczeń w przyszłości, doprowadziłoby do sytuacji w której podmioty finansowe mogłyby przetwarzać dane osobowe swoich klientów, bez konieczności ich usunięcia, nawet jeśli łączyłaby ich wcześniej jedynie krótkotrwale trwająca relacja umowna, czy też zobowiązaniowa. Taka interpretacja art. 6 ust. 1 lit. f RODO jest nieprawidłowa, z perspektywy przytoczonego wcześniej motywu 47 RODO. Brak jest tutaj odniesienia do każdorazowej weryfikacji problemu przez podmiot przetwarzający dane osobowe, ze wskazaniem na rzeczywistą konieczność zabezpieczenia swoich interesów w przypadku dochodzenia przez uczestnika ewentualnych roszczeń. Z ustaleń faktycznych sprawy wynika, że z żadnym roszczeniem wobec banku nie wystąpiono, tak samo bank nie wskazał jakichkolwiek roszczeń, z którymi nawet potencjalnie miałby wystąpić przeciwko uczestnikowi. Nie sposób więc uznać, że taki poziom abstrakcyjności sytuacji pozwala na przetwarzanie danych uczestnika na podstawie art. 6 ust. 1 lit. f RODO.

Warto też zaznaczyć, że na tle regulacji art. 23 ust. 1 pkt 5 uprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 z późn. zm.), w której zapisana jest analogiczna przesłanka legalności przetwarzania danych osobowych co w art. 6 ust. 1 lit. f RODO, sądy administracyjne nie miały wątpliwości, że niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych (m.in. wyroki: WSA w Warszawie z 12 lipca 2017 r. sygn. akt II SA/Wa 2221/16, NSA z 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, NSA z 6 marca 2019 r. sygn. akt I OSK 994/17, WSA w Warszawie z 13 stycznia 2021 r. sygn. akt II SA/Wa 607/20 CBOSA). Niewątpliwie stanowisko to trzeba uznać za aktualne.

Na uwagę zasługuje istnienie w aktualnym stanie prawnym przepisów, które zobowiązują niektóre podmioty do przetwarzania danych osobowych przez okres przedawnienia roszczeń z tytułu zawartych umów. Tytułem przykładu przytoczyć można art. 29 ust. 10 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz.U. z 2021 r. poz. 1130 ze zm.), zgodnie z którym zakład ubezpieczeń przechowuje informacje i dokumenty, o których mowa w ust. 6 (tj. informacje i dokumenty gromadzone w celu ustalenia odpowiedzialności zakładu ubezpieczeń lub wysokości odszkodowania lub świadczenia) do czasu upływu terminu przedawnienia roszczeń z umowy ubezpieczenia. A contrario skoro ustawodawca nie zobowiązał wszystkich przedsiębiorców do przechowywania danych osobowych byłych klientów przez czas przedawnienia roszczeń w celu ustalenia odpowiedzialności lub wysokości odszkodowania, to tym samym zgodnie z zasadą racjonalnego ustawodawcy nie można takiej konstrukcji rozciągać na inne regulacje prawne. Tekst aktu prawodawczego służy ustawodawcy do sformułowania określonych norm postępowania świadczących o tym, że prawodawca zna i uwzględnia reguły języka danej społeczności, a jeśli od nich odstępuje odpowiednio to zaznacza, np. przez definicje legalne. Przyjmuje się, że prawodawca formułuje takie normy, które według jego wiedzy w danym układzie społecznym nadają się do tego, by wpływać na zachowanie adresatów. Nie ustanawia norm niezgodnych między sobą. Postępowanie adresatów zgodne z ustanawianymi normami prowadzi – według jego wiedzy – do rezultatów optymalnych, a w każdym razie aprobowanych na gruncie przypisywanego prawodawcy systemu wartości (por. M. Augustyniak, Zasady racjonalnego prawodawcy w kontekście teorii i praktyki prawniczej, Aktualne problemy prawa, tom 1, nr 4, kwiecień 2020, s. 37-41).

W kontekście ważenia interesów również nie sposób przyjąć, że pierwszeństwo miał interes banku, co uzasadniało przetwarzanie danych uczestnika na podstawie art. 6 ust. 1 lit. f RODO. Ogólnie rzecz ujmując regulacja RODO nie jest ukierunkowana na ochronę interesów sektora gospodarczego, a ochronę interesów jednostki przed nieuprawnionym przetwarzaniem jej danych. Jak już zauważono w niniejszej sprawie przetwarzanie przez bank danych uczestnika miało miejsce "na wszelki wypadek", a więc dokonując ważenia interesów należy uznać, że prawo do prywatności uczestnika powinno mieć pierwszeństwo.

Trzeba się też zgodzić ze stanowiskiem wyrażonym w skardze kasacyjnej, zgodnie z którym istnieje szereg przepisów, które nakładają na bank obowiązek przetwarzania danych osobowych przez wskazany okres po rozwiązaniu umowy, jednakże w niniejszym postępowaniu bank nie powołał się na te inne podstawy i uznał, że przetwarzanie danych osobowych uczestnika ma miejsce jedynie na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 k.c. Tym samym, brak jest podstaw do dalszej analizy w tym zakresie.

W związku z powyższym zarzut 2) skargi kasacyjnej okazał się zasadny, bowiem decyzja organu z 9 lutego 2021 r. w zakresie pkt 3 była prawidłowa. Organ miał podstawy do nakazania bankowi usunięcia danych skarżącego w związku z faktem, że ich dalsze przetwarzanie nie miało miejsca w sposób zgodny z prawem.

Odpowiadając natomiast na pytanie, czy organ mógł w ramach art. 58 ust. 2 lit. b RODO udzielić bankowi upomnienia za przetwarzanie danych osobowych uczestnika, które to przetwarzanie było następstwem błędnego naliczenia opłaty za odnowienie kredytu i zaksięgowania jej na rachunku uczestnika i przekazania informacji o tej zaległości do BIK-u. (zarzut 3) zauważyć należy, że przyjęte przez Sąd pierwszej instancji stanowisko jest trafne.

W niniejszej sprawie przetwarzanie danych osobowych uczestnika stanowiło wyłącznie konsekwencję błędnego przypisania uczestnikowi zadłużenia z tytułu spłaty kredytu odnawialnego, co więcej było niezbędne do rozpatrzenia reklamacji w tej sprawie i wyjaśnienia zaistniałej pomyłki. Bank przetwarzał dane uczestnika, przyjmując, że jest on jego dłużnikiem z tytułu nieuiszczonej opłaty za odnowienie kredytu. W konsekwencji też uruchomił procedury windykacyjne, a informację o zadłużeniu wraz z danymi osobowymi przekazał do BIK-u. Dane uczestnika zatem przetwarzane były wyłącznie w związku z roszczeniem banku. Nie ma znaczenia, że roszczenie to ostatecznie okazało się niezasadne. Zasadnie wskazał w tym przypadku bank, że "[f]akt, że dane osobowe klienta Banku przetwarzane były w wyniku błędu nie oznacza automatycznie, że dane osobowe przetwarzane były bez podstawy prawnej bądź niezgodnie z przepisami RODO. Nie oznacza także pozbawienia ochrony osób, których dane dotyczą". W ramach skargi kasacyjnej nie podniesiono bowiem innych okoliczności niż sam fakt przetwarzania danych w skutek błędu, które miały by świadczyć o nieprawidłowościach i być podstawą do zastosowania uprawnień naprawczych przez organ. Tym samym jako że proces przetwarzania danych osobowych uczestnika nie był wadliwy, a przynajmniej taka okoliczność nie wynika z materiału dowodowego sprawy, co omówiono w ramach rozpoznania zarzutu 1) skargi kasacyjnej, należy przyjąć, że przetwarzanie w związku z uruchomieniem procedur windykacyjnych było uprawnione i prawidłowe z perspektywy przepisów RODO.

Ponadto zasadnie Sąd pierwszej instancji uznał, że celem regulacji art. 58 ust. 2 RODO jest możliwość wpłynięcia na administratora lub podmiot przetwarzający dane w przypadku zaistnienia naruszenia przepisów RODO. Z uprawnień tych nie można zatem korzystać dowolnie lub w celu odbiegającym od idei prawodawcy. Tym samym niedopuszczalne byłoby ocenianie błędu pracownika banku polegającego na przedłużeniu podstawy przetwarzania danych osobowych klienta banku (przedłużenie kredytu odnawialnego) z perspektywy przepisów o ochronie danych osobowych. Taka ocena dotyczy pewnych standardów obsługi i może mieć miejsce z perspektywy innych organów nadzorczych, na co słusznie wskazywał Sąd pierwszej instancji. Zastosowane w rozpoznawanej sprawie upomnienie nie miało zatem racji bytu, a tym samym nie był zasadny zarzut 3) skargi kasacyjnej.

Mając na uwadze podane argumenty, Naczelny Sąd Administracyjny, na podstawie art. 188 w zw. z art. 151 p.p.s.a. orzekł jak w sentencji o uchyleniu wyroku Sądu pierwszej instancji w części dotyczącej uchylenia pkt 3 zaskarżonej decyzji i w tym zakresie skargę oddalił. W pozostałym zakresie, to jest dotyczącym uchylenia pkt 1 i 2 zaskarżonej decyzji, skarga kasacyjna podlegała oddaleniu jako nieusprawiedliwiona.

Działając na podstawie art. 207 § 2 p.p.s.a. Naczelny Sąd Administracyjny zniósł również koszty postępowania kasacyjnego wzajemnie pomiędzy stronami.