III OSK 644/23
WyrokNaczelny Sąd Administracyjny2026-02-19
Skład orzekający: Małgorzata Pocztarek, Zbigniew Ślusarczyk, Mariusz Kotulski
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy przetwarzanie danych osobowych przez bank w celu obrony przed potencjalnymi przyszłymi roszczeniami, po wygaśnięciu zobowiązań umownych i braku zgłoszenia jakichkolwiek roszczeń przez strony, jest zgodne z art. 6 ust. 1 lit. f RODO?Ratio decidendi
Naczelny Sąd Administracyjny uznał, że przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest dopuszczalne jedynie w celu obrony przed istniejącymi roszczeniami, a nie w celu zabezpieczenia się przed hipotetycznymi, przyszłymi roszczeniami. Brak konkretnego roszczenia lub sporu uniemożliwia legalne przetwarzanie danych w tym celu, a prawo do prywatności jednostki ma pierwszeństwo przed interesem banku w przetwarzaniu danych na wypadek niepewnych zdarzeń.Stan faktyczny
Sprawa dotyczyła decyzji Prezesa UODO nakazującej bankowi usunięcie danych osobowych klienta i udzielającej upomnienia za przetwarzanie danych marketingowych pomimo wycofanej zgody. Bank przetwarzał dane klienta po wygaśnięciu umów, powołując się na prawnie uzasadniony interes dochodzenia lub obrony przed potencjalnymi przyszłymi roszczeniami. Wojewódzki Sąd Administracyjny oddalił skargę banku, a Naczelny Sąd Administracyjny oddalił skargę kasacyjną banku, podzielając stanowisko organu i WSA.Rozstrzygnięcie
Oddalono skargę kasacyjną banku oraz zasądzono od banku na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 zł tytułem zwrotu kosztów postępowania kasacyjnego.Pełny tekst orzeczenia
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Małgorzata Pocztarek (sprawozdawca) Sędziowie: sędzia NSA Zbigniew Ślusarczyk sędzia del. WSA Mariusz Kotulski Protokolant: asystent sędziego Ewelina Gee-Milan po rozpoznaniu w dniu 19 lutego 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] S.A. z siedzibą we Wrocławiu od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 20 grudnia 2022 r. sygn. akt II SA/Wa 1758/22 w sprawie ze skargi [...] S.A. z siedzibą we Wrocławiu na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 21 lipca 2022 r. nr ZSPR.440.1504.2018.FT.DS w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną 2. zasądza od [...] S.A. z siedzibą we Wrocławiu na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 zł (trzysta sześćdziesiąt) tytułem zwrotu kosztów postępowania kasacyjnego.
Wyrokiem z dnia 20 grudnia 2022 r., sygn. akt II SA/Wa 1758/22, Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu sprawy ze skargi [...] S.A. z siedzibą we Wrocławiu (dalej: bank) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) z dnia 21 lipca 2022 r., nr ZSPR.440.1504.2018.FT.DS, wydanej w przedmiocie przetwarzania danych osobowych, oddalił skargę.
Wyrok ten zapadł w następującym stanie faktycznym i prawnym:
Prezes UODO decyzją z dnia 21 lipca 2022 r., znak jw., na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735, dalej: k.p.a.) w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, dalej: u.o.d.o.) oraz art. 6 ust. 1 i art. 58 ust. 2 lit. b i c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej: RODO), po przeprowadzeniu postępowania administracyjnego w sprawie ze skargi M. N. (dalej: uczestniczka) na nieprawidłowości w procesie przetwarzania jej danych osobowych przez bank, polegających na przetwarzaniu jej danych osobowych pomimo wycofanej zgody, w tym w celach marketingowych: nakazał bankowi usunięcie danych osobowych M. N. (pkt 1); udzielił upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych M. N. w okresie od 19 września 2018 r. do 16 stycznia 2019 r. w celach marketingowych bez podstawy prawnej (pkt 2).
W toku prowadzonego postępowania Prezes UODO ustalił, że dnia 19 września 2018 r. w placówce banku w Gdyni uczestniczka wycofała zgody na jakiekolwiek wykorzystywanie jej danych osobowych m.in. w celach marketingowych w formie elektronicznej, na potwierdzenie czego otrzymała od banku kartę klienta zawierającą listę wszystkich wycofanych przez nią zgód. Pomimo to, dnia 23 października 2018 r. uczestniczka otrzymała od banku wiadomość sms o charakterze marketingowym. Na skutek powyższego uchybienia, uczestniczka zawnioskowała o nakazanie administratorowi usunięcie jej danych osobowych przetwarzanych bez podstawy prawnej oraz o nałożenie kary administracyjnej na administratora.
W toku postępowania bank wyjaśnił, że pozyskał dane osobowe uczestniczki bezpośrednio od niej w związku z zawarciem umowy o kartę kredytową [...] nr [...] w dniu 6 kwietnia 2014 r., a także w związku z zawarciem umowy kredytu na zakup towarów/usług o numerze [...] w dniu 30 grudnia 2014 r. Dane osobowe uczestniczki były przetwarzane w celu zawarcia i realizacji umowy na podstawie art. 23 ust. 1 pkt 3 ustawy z 1997 r. o ochronie danych osobowych; realizacji obowiązku prawnego w zakresie przeprowadzenia oceny zdolności kredytowej na podstawie: art. 70 ust. 1 prawa bankowego w związku z art. 23 ust. 1 pkt 2 ustawy z 1997 r., wykonania środków bezpieczeństwa finansowego na podstawie art. 8b - 9a ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy i finansowania terroryzmu w związku z art. 23 ust. 1 pkt 2 ustawy z 1997 r., przechowywania dokumentów księgowych na podstawie art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości; marketingu produktów oferowanych przez bank po wygaśnięciu/rozwiązaniu umowy - na podstawie art. 23 ust. 1 pkt 5 ustawy z 1997 r.; marketingu produktów/usług oferowanych przez spółki zależne, powiązane i dominujące wobec banku - na podstawie art. 23 ust. 1 pkt 1 ustawy z 1997 r.; informowania o produktach i usługach partnerów klubu rabatowego banku, których lista jest dostępna na stronie internetowej banku - na podstawie art. 23 ust. 1 pkt 1 ustawy z 1997 r.
Zakres przetwarzanych przez bank danych osobowych uczestniczki obejmował: imię i nazwisko, PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe (adres zameldowania, adres korespondencyjny, numer telefonu, adres email), dane niezbędne do oceny zdolności kredytowej, tj. stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego.
Bank oświadczył, że przetwarzał dane osobowe skarżącej w celu spełnienia obowiązków wynikających z przepisów prawa oraz prawnie usprawiedliwionych celów
administratora na podstawie art. 6 ust. 1 lit. c i f RODO, w celu rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń - podstawą prawną jest realizacja prawnie uzasadnionego interesu banku (art. 6 pkt 1. lit. f RODO) oraz stosowania przyjętych zasad rachunkowości - podstawą prawną są przepisy art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości oraz wynikające z niej przepisy szczególne, do których stosowania się zobowiązany jest bank (art. 6 pkt 1. lit. c RODO); realizacji obowiązków związanych z wykonaniem środków bezpieczeństwa finansowego oraz przechowywania danych dla celów przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Podstawą prawną przetwarzania danych jest obowiązek prawny wynikający z art. 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (art. 6 pkt 1. lit. c RODO); oceny zdolności kredytowej po ustaniu zobowiązania - na podstawie zgody skarżącej (art. 6 pkt 1. lit. f RODO) w związku z art. 105a ust. 2 prawa bankowego.
Bank oświadczył, że dane osobowe skarżącej będą przetwarzane do momentu ustania ostatniego z celów, tj. rozpatrywania reklamacji oraz ustalania i obrony roszczeń przez okres 10 lat od dnia wygaśnięcia ostatniego ze zobowiązań skarżącej (do dnia 20 czerwca 2025 r., z uwagi na wygaśnięcie zobowiązania z umowy kredytu na zakup towarów i usług w dniu 20 czerwca 2015 r.). Bank potwierdził, że dnia 19 września 2018 r. uczestniczka złożyła dyspozycję wycofania zgód na otrzymywanie materiałów marketingowych, a na skutek błędu komunikacji między systemem informatycznym służącym do obsługi klienta a bazą danych banku, nie doszło do skutecznego zapisania tej dyspozycji i uczestniczka otrzymała korespondencję marketingową od banku. Jednocześnie bank wyjaśnił, że wniosek skarżącej zrealizował w trybie pilnym dnia 16 stycznia 2019 r. oraz wskazał, że z uwagi na fakt upływu terminu określonego w art. 49 ust. 2 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, bank aktualnie nie przetwarza danych osobowych skarżącej w celu wykonania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. Bank również oświadczył, że poza przetwarzaniem danych osobowych skarżącej w celu rozpatrywania reklamacji oraz ustania, obrony i dochodzenia roszczeń, pozostałe cele wygasły w toku niniejszego postępowania.
Kolejno organ wskazał, że decyzja administracyjna wydawana jest w oparciu o stan faktyczny istniejący w chwili wydania decyzji, powołał przesłanki warunkujące legalność przetwarzania danych osobowych zawarte w art. 6 ust. 1 RODO oraz zasadę wyrażoną w art. 5 ust. 1 lit. a RODO i podkreślił, że każda z przesłanek legalności przetwarzania danych ma charakter autonomiczny, co oznacza, że spełnienie choćby jednej z nich przesądza o zgodności z prawem przetwarzania danych osobowych. Organ podkreślił, że zgoda osoby, której dane dotyczą nie jest wyłączną podstawą uprawniającą do przetwarzanie jej danych osobowych (lit. a), a proces przetwarzania danych osobowych będzie zgodny z przepisami również w sytuacji, w której administrator danych wykaże spełnienie którejkolwiek przesłanki z art. 6 ust. 1 RODO.
Na podstawie zgromadzonego materiału dowodowego organ ustalił, że między uczestniczką a bankiem wygasły wszystkie stosunki umowne, a bank przetwarza jej dane osobowe wyłącznie w celu rozpatrywania reklamacji oraz ustalenia, obrony i dochodzenia roszczeń na podstawie art. 6 ust. 1 lit. f RODO. Następnie organ wskazał, że w toku postępowania nie wykazano, aby bank posiadał wobec uczestniczki jakiekolwiek roszczenia związane ze świadczonymi na jej rzecz usługami wynikającymi z zawartych umów, które uzasadniałyby uprawnienie do zachowania i przetwarzania jej danych osobowych dla celów dowodowych, w szczególności, iż bank oświadczył, że rozliczenie ww. umów nastąpiło 20 czerwca 2015 r. Również uczestniczka nie wysunęła żadnych roszczeń wobec banku. W ocenie organu, bank nie spełnił przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie do przetwarzania danych osobowych, a przetwarzanie danych odbywa się celem zabezpieczenia przed ewentualnymi przyszłymi i niepewnymi roszczeniami.
W ocenie Prezesa UODO brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia zarzutu przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego. Z uwagi na fakt braku roszczeń banku wobec uczestniczki oraz braku roszczeń uczestniczki wobec banku wynikających z rozliczonej umowy z dnia 30 grudnia 2014 r., kontynuowanie przetwarzania danych osobowych uczestniczki w celu ustalenia, dochodzenia lub obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, zdaniem organu należy uznać za zbędne i niezgodne z obowiązującymi przepisami o ochronie danych osobowych. Z uwagi na powyższe organ nakazał bankowi usunięcie danych osobowych skarżącej.
Kolejno, organ ustalił, iż bank nie wykazał żadnej przesłanki legalizującej przetwarzanie danych osobowych uczestniczki w celach marketingowych, poinformował jedynie, iż otrzymanie przez nią materiału marketingowego po wycofaniu zgód na przetwarzanie jej danych osobowych w tym celu, nastąpiło jednokrotnie, na skutek braku komunikacji pomiędzy systemem informatycznym służącym do obsługi klienta a bazą danych banku. Z uwagi na fakt, iż bank zrealizował wniosek skarżącej w trybie pilnym dopiero dnia 16 stycznia 2019 r., organ uznał, że od dnia 19 września 2018 r. do tej daty działanie banku naruszało przepisy dotyczące ochrony danych osobowych, nie wypełniło żadnej z przesłanek legalizujących z art. 6 ust. 1 RODO i w konsekwencji, na podstawie art. 58 ust. 2 lit. b RODO, udzielił bankowi upomnienia za naruszenie art. 6 ust. 1 RODO.
Ponadto organ uznał, że aktualnie proces przetwarzania danych osobowych skarżącej nie znajduje uzasadnienia w powoływanej przez bank przesłance z art. 6 ust. 1 lit. f RODO, wobec czego na podstawie art. 58 ust. 2 lit. e RODO nakazał bankowi usunięcie jej danych osobowych.
Bank zaskarżył do Wojewódzkiego Sądu Administracyjnego w Warszawie ww. decyzję Prezesa UODO w całości
Powołanym na wstępie wyrokiem Sąd pierwszej instancji oddalił skargę.
W uzasadnieniu Sąd pierwszej instancji powołał treść przepisów art. 1 § 1-2, art. 3 § 1, art. 134 § 1-2 p.p.s.a., art. 6 ust. 1 lit. a-f RODO, podkreślił, że okolicznością bezsporną jest, iż bank pozyskał dane osobowe uczestniczki bezpośrednio od niej na skutek zawarcia umowy o kartę kredytową w dniu 6 kwietnia 2014 r., a także w związku z zawarciem umowy kredytu z dnia 30 grudnia 2014 r. oraz że dnia 20 czerwca 2015 r. zobowiązanie uczestniczki z umowy kredytu zostało zrealizowane. Sąd pierwszej instancji podkreślił, że na podstawie wyjaśnień banku złożonych w toku postępowania administracyjnego ustalono, że bank przetwarza dane osobowe wyżej wymienionej na podstawie art. 6 ust. 1 lit. f RODO wyłącznie w celu rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń, albowiem wszystkie pozostałe cele podnoszone wcześniej w postępowaniu wygasły do dnia 20 czerwca 2025 r., tj. do czasu upływu terminu przedawnienia roszczeń. W pismach tych bank wskazał, że nie występował i na dzień sporządzania tych pism nie zamierza występować z roszczeniami w stosunku do uczestniczki oraz że uczestniczka nie występowała również do banku z innymi roszczeniami niż żądanie wycofania zgód marketingowych. Ustalenia te doprowadziły Sąd pierwszej instancji do przekonania, że bank nie jest uprawniony do przetwarzania danych osobowych uczestniczki w oparciu przesłankę z art. 6 ust. 1 lit. f RODO.
Następnie Sąd pierwszej instancji powołał treść motywu 47 preambuły RODO i wskazał, że oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO wymaga kumulatywnego spełnienia przesłanek istnienia prawnie uzasadnionego interesu realizowanego przez administratora lub osobę trzecią oraz weryfikację czy przetwarzanie danych jest niezbędne dla realizacji celu wynikającego z ww. interesu. Sąd pierwszej instancji uznał, że przetwarzanie danych osobowych uczestniczki nie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez bank, tj. ustalania, obrony i dochodzenia roszczeń w przyszłości, skoro w relacji banku z uczestniczką żadna ze stron nie wysunęła dotychczas żadnych roszczeń związanych ze zrealizowaną umową. Takie określenie przez bank celu przetwarzania danych osobowych Sąd pierwszej instancji uznał za cel ewentualny, co pozbawiło proces przetwarzania danych osobowych elementu niezbędności i przyznał rację Prezesowi UODO, iż przesłanka z art. 6 ust. 1 lit. f RODO dotyczy wyłącznie sytuacji już istniejącej, której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest udowodnienie, dochodzenia lub obrona przed istniejącym roszczeniem. Skoro bank nie określił jakiego roszczenia domaga się wobec uczestniczki ani nie wskazał istniejącego sporu, Prezes UODO zasadnie przyjął, że brak jest celu uzasadniającego przetwarzanie danych osobowych uczestniczki na podstawie art. 6 ust. 1 lit. f RODO. Z uwagi na powyższe, Sąd pierwszej instancji ocenił jako zasadne ustalenie, iż zbędne jest dalsze przetwarzanie danych osobowych uczestniczki przez bank i właściwie skorzystał z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO nakazując bankowi usunięcie danych osobowych uczestniczki.
Jako prawidłowe Sąd pierwszej instancji ocenił również ustalenie, iż od czasu wycofania przez uczestniczkę zgody na przetwarzanie jej danych osobowych w celach marketingowych, tj. od dnia 19 września 2018 r., do czasu skutecznego odnotowania tego faktu przez bank, tj. do dnia 16 stycznia 2019 r., bank przetwarzał jej dane osobowe w sposób nieuprawniony naruszając przepisy o ochronie danych osobowych i w braku jakiejkolwiek przesłanki legalizującej z art. 6 ust. 1 lit. f RODO. Sąd pierwszej instancji wyjaśnił, że katalog uprawnień naprawczych z art. 58 ust. 2 RODO jest zamknięty, a jak wynika z motywu 148 preambuły, w sytuacji, w której naruszenie przepisów RODO jest niewielkie, to zastosowane przez organ upomnienie należy uznać za środek adekwatnie zastosowany na gruncie niniejszej sprawy i jedyny możliwy do zastosowania obok administracyjnej kary pieniężnej.
Z tych wszystkich względów Sąd pierwszej instancji uznał, że decyzja Prezesa UODO jest zgodna z prawem.
Skargę kasacyjną od powyższego wyroku wywiódł bank zaskarżając ten wyrok w całości, a na podstawie art. 174 pkt. 1-2 p.p.s.a., zaskarżonemu wyrokowi zarzucił:
1. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. naruszenie art. 151 p.p.s.a. poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuwzględnienie skargi banku, pomimo naruszenia przez organ przepisów art. 7, 77 oraz 80 k.p.a. poprzez niewyczerpujące rozpatrzenie materiału dowodowego oraz dokonanie jego dowolnej oceny przejawiającej się w uznaniu, że:
- bank nie dysponuje przesłankami legalizującymi przetwarzanie danych osobowych uczestniczki pomimo, że to przetwarzanie danych jest niezbędne do realizacji prawnie uzasadnionych interesów banku w związku z obroną przed roszczeniami i/lub ich dochodzeniem oraz
- w sprawie zaszły okoliczności uzasadniające udzielenie bankowi upomnienia na mocy art. 58 ust. 2 lit. b RODO;
2. naruszenie prawa materialnego, tj. art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 1, § 2 i § 21 k.c. poprzez ich błędną wykładnię polegającą na uznaniu, że obrona i dochodzenie roszczeń mogą dotyczyć wyłącznie już istniejących roszczeń oraz stwierdzeniu, że prawnie uzasadnionym interesem administratora nie może być obrona przed roszczeniami lub dochodzenie roszczeń jeszcze nieskonkretyzowanymi w postaci wezwania i pozwu.
Mając na uwadze powyższe zarzuty bank wniósł o uchylenie zaskarżonego wyroku w całości oraz przekazanie sprawy w tym zakresie do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, zasądzenie zwrotu kosztów postępowania kasacyjnego, w tym kosztów zastępstwa procesowego i opłaty skarbowej od pełnomocnictwa, według norm przepisanych i rozpoznanie sprawy na rozprawie.
W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje.
Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935, dalej: p.p.s.a.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę przesłanki uzasadniające nieważność postępowania wymienione w art. 183 § 2 p.p.s.a. oraz przesłanki uzasadniające odrzucenie skargi bądź umorzenie postępowania przed wojewódzkim sądem administracyjnym, stosownie do treści art. 189 p.p.s.a. Żadna z powyższych przesłanek w tej sprawie nie zaistniała. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.
Skarga kasacyjna nie zasługuje na uwzględnienie.
W świetle art. 174 p.p.s.a., skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub nie-właściwe zastosowanie, 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy. W przypadku podniesienia jednocześnie zarzutów naruszenia przepisów prawa materialnego i prawa procesowego należy w pierwszej kolejności rozpatrzyć te ostatnie, ponieważ pozwoli to następnie ocenić właściwe zastosowanie lub wykładnię powołanych przepisów prawa materialnego w prawidłowo ustalonym stanie faktycznym sprawy.
Podniesione w skardze kasacyjnej zarzuty naruszenia przepisów postępowania nie mogły odnieść skutku. Należy podkreślić, że skarżący kasacyjnie w żaden sposób nie wykazał na czym ma polegać niewyczerpujące rozpatrzenie materiału dowodowego i jego dowolna ocena. Skarżący kasacyjnie ograniczył się wyłącznie do wskazania, że dane osobowe uczestniczki zostały przetworzone bez jej zgody w celach marketingowych tylko raz i na skutek niekompatybilności systemów informatycznych banku. Należy jednak dostrzec, że omawiane naruszenie było spowodowane brakiem komunikacji jego własnych wewnętrznych systemów informatycznych, a okoliczność ta, jako związana z jego profesjonalną działalnością, obciąża tylko bank jako administratora danych, który jest zobowiązany do prawidłowego przetwarzania danych osobowych. Podkreślić również należy, że upomnienie zastosowane przez organ jest środkiem, który poza wskazaniem podmiotowi na nieprawidłowość w procesie przetwarzania danych osobowych, której podmiot kontrolowany się dopuścił, ma również charakter prewencyjny, co oznacza, że upomnienie za nieprawidłowości w procesie przetwarzania danych osobowych jest istotnym środkiem naprawczym także z punktu widzenia banku. Otrzymanie upomnienia powinno być bowiem dla banku impulsem do zweryfikowania swoich procesów przetwarzania danych w taki sposób, aby wykluczyć podobne naruszenia w przyszłości i uniknąć negatywnych konsekwencji z tym związanych. Przy tym podkreślić należy, że skoro organ udzielił wobec stwierdzonego naruszenia RODO tylko i wyłącznie upomnienia, oznacza to, że naruszenie uznał za niewielkie, a zatem działał przy uwzględnieniu wskazań motywu 148 preambuły RODO.
Przechodząc do oceny zarzutu naruszenia prawa materialnego należy wskazać, że spornym zagadnieniem materialnoprawnym w niniejszej sprawie jest możliwość przetwarzania danych osobowych w okresie przedawnienia roszczenia wynikającego ze zrealizowanej umowy łączącej uczestniczkę i bank na podstawie art. 6 ust. 1 lit. f RODO. Naczelny Sąd Administracyjny w pełni podziela stanowisko zaprezentowane w wyrokach Naczelnego Sądu Administracyjnego z dnia 10 lipca 2025 r., sygn. akt III OSK 1594/22, oraz z dnia 1 października 2025 r., sygn. akt III OSK 872/22, w których wskazano, że art. 6 ust. 1 lit. f RODO dotyczy sytuacji "już istniejącej", w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
W doktrynie i orzecznictwie wskazuje się, że zastosowanie art. 6 ust. 1 lit. f RODO jest uzasadnione, gdy łącznie spełnione są następujące przesłanki:
1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne;
2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora;
3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane (por. wyrok Naczelnego Sądu Administracyjnego z dnia 5 lutego 2025 r., sygn. akt III OSK 6553/21).
Celem przepisów o ochronie danych osobowych jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (por. wyrok Naczelnego Sądu Administracyjnego: z dnia 30 marca 2006 r., sygn. akt I OSK 628/05; z dnia 3 grudnia 2019 r., sygn. akt I OSK 920/18). Zagwarantowana w art. 51 Konstytucji RP autonomia informacyjna oznacza prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, jeśli znajdują się w posiadaniu innych podmiotów (por. wyrok Trybunału Konstytucyjnego z dnia 19 lutego 2002 r., sygn. U 3/01). Konstytucja wyraża prawo jednostki do ochrony danych osobowych, w zakres którego wchodzi m.in. wymaganie ustawowej podstawy nałożenia obowiązku ujawnienia przez daną osobę informacji jej dotyczących (ust. 1), zakaz pozyskiwania, gromadzenia i udostępniania innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym (ust. 2), prawo dostępu jednostki do dokumentów i zbiorów danych oraz żądania sprostowania bądź usunięcia danych nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą (ust. 3 i 4). Powyższe rozwiązania oznaczają z jednej strony, że przesłanki legalizujące przetwarzanie danych osobowych powinny być wykładane w sposób zawężający, a postępowanie w sprawach związanych z wystąpieniem przesłanki pozwalającej na ujawnienie danych osobowych powinno zmierzać do tego, aby nie było wątpliwości co do wystąpienia możliwości przetwarzania danych osobowych przez dany podmiot (por. wyrok Naczelnego Sądu Administracyjnego z dnia 20 stycznia 2021 r., sygn. akt III OSK 2986/21).
Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji (por. wyrok Naczelnego Sądu Administracyjnego z dnia 20 lutego 2024 r., sygn. akt III OSK 2700/22). Pojęcie niezbędności należy rozumieć w podobny sposób jak na gruncie przepisu art. 6 ust. 1 lit. b RODO. Oznacza ono zatem, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne. Podobnie jak na gruncie przepisu art. 6 ust. 1 lit. b RODO, również tutaj musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych (D. Lubasz, W. Chomiczewski (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 6). Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga więc od administratora wykazania, że jest to "konieczne" z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator będzie musiał wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasady minimalizacji przetwarzania danych (art. 5 ust. 1 lit. c RODO).
Drugą przesłanką przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest ustalenie, że cel, dla osiągnięcia którego przetwarzanie to jest niezbędne "wynika z prawnie uzasadnionych interesów realizowanych przez administratora (lub przez stronę trzecią)". Pod pojęciem tym rozumieć należy interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym. Odniesienia do tego pojęcia można szukać też w motywie 47 preambuły RODO, w którym prawodawca unijny stwierdził, że "taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu". Jako przykłady prawnie uzasadnionego interesu ustawodawca unijny podał m.in.: zapobieganie oszustwom oraz marketing bezpośredni (motyw 47 RODO), przetwarzanie w ramach grupy przedsiębiorców lub instytucji powiązanych do wewnętrznych celów administracyjnych (motyw 48 RODO) lub zapewnienie bezpieczeństwa sieci i informacji (motyw 49 RODO). Przy rekonstrukcji zakresu zastosowania art. 6 ust. 1 lit. f RODO motyw 47 preambuły RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Zgodnie z powyższym nie można uznać, że każdy interes administratora danych ma "uzasadniony" charakter.
Trzecia przesłanka stanowi o ważeniu interesów administratora i osoby, której dane są przetwarzane. Jest to swoista przesłanka negatywna, bowiem stwierdzenie występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej uniemożliwia przetwarzanie danych osobowych tej osoby na podstawie art. 6 ust. 1 lit. f RODO. W gestii podmiotu przetwarzającego jest zatem przeprowadzenie swego rodzaju "testu ważenia interesu" swojego, który powinien być niezbędny i usprawiedliwiony, oraz praw i wolności osoby, której dane dotyczą. Dopiero stwierdzenie, że interesy przetwarzającego są ważniejsze pozwala na legalne przetwarzanie danych (tak: P. Szustakiewicz, Przetwarzanie danych kandydata na pracownika po zakończeniu procesu rekrutacji. Glosa do wyroku Naczelnego Sądu Administracyjnego z dnia 20 lutego 2024 r., sygn. akt III OSK 2700/22, PPP 2024, nr 9, s. 116-125). Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której nie ma rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
Słusznie wskazał organ w zaskarżonej decyzji, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają równocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank na wypadek zaistnienia takich roszczeń w przyszłości. Podkreślenia wymaga, że zobowiązanie na skutek przedawnienia przekształca się w naturalne (por. wyrok Sądu Najwyższego z dnia 9 lutego 2018 r., sygn. akt I CSK 246/17). Jak wskazał Sąd Najwyższy w postanowieniu z dnia 18 czerwca 2015 r., sygn. akt III CZ 27/15, "roszczenie to możliwość domagania się od konkretnej osoby, aby w stosunku do uprawnionego zachowała się w ten sposób, że spełni na jej rzecz świadczenie pieniężne lub niepieniężne, wykona pewną czynność, powstrzyma się od jakiegoś działania lub zniesie działanie uprawnionego. Powstaje ono w następstwie zaistnienia w relacjach między uprawnionym i zobowiązanym faktów, z którymi przepisy prawa wiążą konsekwencje determinujące treść poszczególnych roszczeń". Oznacza to, że zobowiązanie nadal istnieje a wierzyciel może podejmować szereg innych czynności windykacyjnych zmierzających do pozasądowej regulacji zobowiązania. Nie można natomiast utożsamiać ze sobą przetwarzania danych w celu dochodzenia roszczeń oraz obrony przed istniejącymi roszczeniami z przetwarzaniem na wypadek ewentualnego zaistnienia takich roszczeń w przyszłości. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego. Zgodnie z powyższym znaczenie przy ocenie zasadności przetwarzania na mocy art. 6 ust. 1 lit. f RODO ma właśnie "ewentualność" dochodzenia roszczenia lub obrony przed nimi, co zostało już w orzecznictwie sądów administracyjnych zauważone (m.in. wyroki Naczelnego Sądu Administracyjnego: z dnia 27 marca 2018 r., sygn. akt I OSK 1459/16; z dnia 10 lipca 2025 r., sygn. akt III OSK 1594/22).
Akceptacja przetwarzania danych osobowych z uwagi na przyszłe, niepewne zdarzenie jakim jest ewentualne zgłoszenie roszczeń którejkolwiek ze stron wykonanej umowy, doprowadziłoby do sytuacji w której podmioty finansowe mogłyby przetwarzać dane osobowe swoich klientów, bez konieczności ich usunięcia, nawet jeśli łączyłaby ich wcześniej jedynie krótkotrwale trwająca relacja umowna czy zobowiązaniowa. Taka interpretacja art. 6 ust. 1 lit. f RODO jest nieprawidłowa w kontekście wspomnianego wcześniej motywu 47 RODO. Brak jest odniesienia do każdorazowej weryfikacji problemu przez podmiot przetwarzający dane osobowe, ze wskazaniem na rzeczywistą konieczność zabezpieczenia swoich interesów w przypadku dochodzenia przez uczestnika ewentualnych roszczeń. Z ustaleń faktycznych sprawy wynika, że z żadnym roszczeniem wobec banku nie wystąpiono, tak samo bank nie wskazał jakichkolwiek roszczeń, z którymi nawet potencjalnie miałby wystąpić przeciwko uczestniczce. Nie sposób więc uznać, że taki poziom abstrakcyjności sytuacji pozwala na przetwarzanie danych uczestniczki na podstawie art. 6 ust. 1 lit. f RODO.
W kontekście ważenia interesów również nie sposób przyjąć, że pierwszeństwo ma mieć interes banku, co miałoby uzasadniać przetwarzanie danych uczestniczki na podstawie art. 6 ust. 1 lit. f RODO. Ogólnie rzecz ujmując regulacja RODO nie jest ukierunkowana na ochronę interesów sektora gospodarczego, a ochronę interesów jednostki przed nieuprawnionym przetwarzaniem jej danych. Jak już zauważono, w niniejszej sprawie przetwarzanie przez bank danych uczestnika miało miejsce "na wszelki wypadek", a więc dokonując ważenia interesów należy uznać, że prawo do prywatności uczestniczki powinno mieć pierwszeństwo.
Jedynie na marginesie należy zwrócić uwagę, iż w systemie prawnym istnieje szereg przepisów, które nakładają na bank obowiązek przetwarzania danych osobowych przez wskazany okres po rozwiązaniu umowy, jednakże w niniejszym postępowaniu bank nie powołał się na żadne inne podstawy i uznał, że przetwarzanie danych osobowych uczestniczki ma miejsce jedynie na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 117 i nast. k.c. Tym samym, brak jest podstaw do dalszej analizy w tym zakresie.
Z tych wszystkich względów, Naczelny Sąd Administracyjny, na podstawie art. 184 p.p.s.a., orzekł jak w sentencji wyroku.
O kosztach postepowania kasacyjnego rozstrzygnięto na podstawie art. 204 pkt. 1 w zw. z art. 205 § 2 P.p.s.a.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło