NSA: banki nie mogą przechowywać danych byłych i niedoszłych klientów
Naczelny Sąd Administracyjny wydał dwa istotne wyroki, które mogą mieć daleko idące konsekwencje dla sektora bankowego i jego podejścia do przetwarzania danych osobowych. Oba rozstrzygnięcia zapadły 10 lipca 2025 r. i dotyczą praktyk przetwarzania danych osobowych przez banki oraz Biuro Informacji Kredytowej (BIK). NSA przychylił się w nich do argumentacji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który uznał, że ewentualne przyszłe roszczenia byłego klienta banku nie uzasadniają przetwarzania jego danych osobowych. Zarazem w ocenie PUODO zarówno bank, jak i BIK są zobowiązane do zaprzestania przetwarzania danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy.
Dane byłych klientów nie mogą być przechowywane „na wszelki wypadek”
W pierwszej ze spraw (sygn. akt III OSK 1594/22), NSA uznał za bezzasadne przetwarzanie danych byłego klienta Santander Consumer Bank. Sąd potwierdził, że nie można opierać się na tzw. uzasadnionym interesie (art. 6 ust. 1 lit. f RODO), jeśli umowa pomiędzy stronami już nie obowiązuje. Bank twierdził, że przetwarza dane na wypadek ewentualnych przyszłych roszczeń ze strony klienta, mimo że sprzedał jego wierzytelność innej instytucji.
NSA uznał jednak, że organ nadzorczy w decyzji DS.440.197.2019 prawidłowo ocenił, że bank nie wskazał istnienia roszczeń, których zaspokojenia domaga się od skarżącego (PUODO) oraz nabywcy wierzytelności, jak również nie wykazał, aby zaspokojenia roszczeń domagał się od banku nabywca wierzytelności lub skarżący. Zdaniem sądu nie istnieją żadne konkretne roszczenia, których realizacja uzasadniałaby dalsze przechowywanie danych. Potencjalne, hipotetyczne sytuacje nie mogą stanowić podstawy do takiej praktyki. W konsekwencji, skoro nie istnieje cel uzasadniający przetwarzanie danych osobowych byłego klienta, to dane te powinny zostać usunięte.
Niedoszły klient = brak podstaw do przetwarzania danych
Drugie orzeczenie (sygn. akt III OSK 165/22) odnosiło się do ING Banku Śląskiego oraz Biura Informacji Kredytowej. Sprawa dotyczyła osoby, która złożyła zapytanie kredytowe, jednak nie zawarła z bankiem umowy. Mimo to jej dane były nadal przetwarzane. Tymczasem NSA przychylił się do skargi kasacyjnej PUODO, uznając, że taka praktyka jest nielegalna. Zdaniem sądu słuszne było postępowanie organu nadzorczego nakazującego usunięcie danych niedoszłego klienta banku, dotyczące jego zapytania kredytowego.
Sąd zgodził się ze stanowiskiem PUODO wyrażonym w decyzji DS.523.70.2020, zgodnie z którym w przypadku, gdy nie dochodzi do zawarcia umowy kredytowej, przetwarzanie danych w celu oceny zdolności kredytowej pozbawione jest podstaw prawnych. Tym samym ING Bank Śląski i BIK powinny niezwłocznie usunąć dane niedoszłego klienta.
Co istotne, NSA odrzucił również argumentację banku powołującą się na przepisy art. 105a Prawa bankowego, podkreślając, że przepis ten odnosi się do sytuacji, w których powstało zobowiązanie. W tym przypadku żadna umowa nie została zawarta, a zatem przepis nie może mieć zastosowania.
Znaczenie orzeczeń dla praktyki bankowej
Orzeczenia NSA mają istotne znaczenie dla całego sektora finansowego. Wynika z nich, że:
- Nie można przetwarzać danych byłych klientów „na wypadek” potencjalnych roszczeń, jeśli brak jest ku temu realnych podstaw.
- Dane osób, które nie zawarły umowy kredytowej muszą być usuwane, ponieważ nie istnieje cel przetwarzania, który uzasadniałby ich dalsze przechowywanie.
- Powoływanie się na tajemnicę bankową lub ogólne interesy banku nie jest wystarczające, jeśli nie są spełnione konkretne przesłanki wynikające z RODO i Prawa bankowego.
Podsumowanie
Dwa lipcowe wyroki NSA potwierdzają, że dane osobowe klientów nie mogą być traktowane przez banki w sposób uznaniowy. Przetwarzanie danych powinno być zawsze poparte konkretną podstawą prawną. Zarówno byli, jak i niedoszli klienci banków bezsprzecznie zachowują prawo do prywatności, a banki zobowiązane są to prawo respektować. Rozstrzygnięcia NSA mogą skłonić instytucje finansowe do weryfikacji i zmiany swoich polityk retencyjnych oraz systemów przetwarzania danych.
Informacja o wyrokach NSA dostępna na stronach PUODO pod linkiem TUTAJ.
Materiał prasowy: radca prawny Mikołaj Domagała.
