II SA/Wa 3409/21
WyrokWSA w Warszawie2022-06-30
Skład orzekający: Agnieszka Góra-Błaszczykowska, Ewa Kwiecińska, Sławomir Fularski
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy przetwarzanie danych osobowych przez bank w celu obrony przed ewentualnymi przyszłymi roszczeniami, gdy takie roszczenia nie zostały jeszcze zgłoszone, jest zgodne z art. 6 ust. 1 lit. f RODO?Ratio decidendi
Przetwarzanie danych osobowych w celu obrony przed ewentualnymi przyszłymi roszczeniami, gdy takie roszczenia nie zostały jeszcze zgłoszone, nie jest zgodne z art. 6 ust. 1 lit. f RODO. Podstawa prawna przetwarzania danych musi opierać się na istniejącej potrzebie dochodzenia lub obrony przed roszczeniem, a nie na zabezpieczeniu się przed hipotetycznymi przyszłymi działaniami. Dane osobowe nie mogą być przetwarzane 'na zapas'.Stan faktyczny
Bank został skarżony przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w związku ze skargą klienta na przetwarzanie jego danych osobowych. Klient zarzucił bankowi udostępnienie jego danych Biuru Informacji Kredytowej (BIK) oraz przetwarzanie danych w celu obrony przed ewentualnymi roszczeniami. PUODO umorzył postępowanie w zakresie udostępnienia danych BIK, uznając je za bezprzedmiotowe, ale nakazał bankowi zaprzestanie przetwarzania danych klienta w celu obrony przed ewentualnymi roszczeniami, uznając to za niezgodne z prawem. Bank zaskarżył decyzję PUODO w części dotyczącej nakazu zaprzestania przetwarzania danych.Rozstrzygnięcie
Oddalono skargę Banku.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Ewa Kwiecińska, Sędzia WSA Sławomir Fularski, , Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 30 czerwca 2022 r. sprawy ze skargi Banku [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Przedmiotem rozpoznania w niniejszej sprawie była skarga Banku [....] Spółka Akcyjna z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych znak [....] z dnia [....] lipca 2021 r. w przedmiocie przetwarzania danych osobowych.
Skarga została złożona w następującym stanie faktycznym sprawy:
W dniu [....] września 2013 r. (data wpływu do organu) T. K. (zwany dalej: wnioskodawca), wniósł do Generalnego Inspektora Danych Osobowych (obecnie Prezes Urzędu Ochrony Danych Osobowych, zwany dalej: PUODO, organ), skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [....] Spółka Akcyjna z siedzibą w W. (zwany dalej: bank, skarżący), polegające na ich udostępnieniu na rzecz Biura Informacji Kredytowej Spółka Akcyjna z siedzibą w W. przy ul. Z. [....] (zwane dalej: BIK).
Decyzją [....] z dnia [....] lipca 2021 r. organ, działając na podstawie art. 104 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735, zwana dalej: k.p.a.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w zw. z art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) oraz art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, zwane dalej: rozporządzeniem 2016/679), orzekł:
w pkt 1 – o umorzeniu postępowania w zakresie nieprawidłowości w procesie przetwarzania danych osobowych wnioskodawcy przez bank, polegających na ich udostępnieniu na rzecz BIK, w trybie art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896, zwana dalej: p.b.);
w pkt 2 – o nakazaniu zaprzestanie przetwarzania przez bank danych osobowych wnioskodawcy w zakresie imiona, nazwisko, PESEL, data urodzenia, miejsce urodzenia, kraj urodzenia, obywatelstwo, status rezydencji, imiona rodziców, nazwisko panieńskie matki, adres zamieszkania, telefon komórkowy, stan cywilny, pleć, dane dotyczące posiadanych produktów, dane finansowe, numer CIF, pozyskanych w związku z umową z dnia [....] czerwca 2004 r. karty kredytowej nr [....], przetwarzanych w celu obrony przed ewentualnymi roszczeniami.
W uzasadnieniu podjętej decyzji organ wskazał na następujące ustalenia stanu faktycznego sprawy:
W dniu [....] czerwca 2004 r. wnioskodawca zawarł z bankiem Umowę Karty Kredytowej [....] o numerze [....]. W dniu [....] września 2006 r. z powodu zgubienia, karta ta została zastrzeżona. W dniu [....] września 2006 r. w miejsce zastrzeżonej karty została wydana nowa karta kredytowa [....] o numerze [....]. Opóźnienie w spłacie karty wynosiło powyżej 60 dni. W związku ze zwłoką powyżej 60 dni w spełnieniu świadczenia wynikającego z Umowy Karty Kredytowej przez wnioskodawcę, bank wysłał do niego w dniu [....] stycznia 2010 r. pismo z informacją o zamiarze przetwarzania jego danych po wygaśnięciu zobowiązania bez jego zgody, jeżeli w terminie 30 dni, od dnia doręczenia przedmiotowego pisma, nie ureguluje zaległych należności. We wskazanym przez bank terminie wnioskodawca nie uregulował należności. Wobec tego bank i BIK miał prawo do przetwarzania danych wnioskodawcy również na podstawie art. 105a ust. 3 p.b., tj. po wygaśnięciu zobowiązania z tytułu Umowy. Ponadto w grudniu 2009 r. Bank podjął wobec wnioskodawcy działania windykacyjne. W dniu [....] grudnia 2009 r. wysłał do ww. wezwanie do zapłaty, a w dniu [....] grudnia 2009 r. ostateczne wezwanie do zapłaty. W związku z brakiem spłaty przez wnioskodawcę zaległości, bank w dniu [....] listopada 2010 r. wysłał do ww. oświadczenie o wypowiedzeniu Umowy Karty Kredytowej. Następnie w dniu [....]marca 2011 r. w wyniku zgodnego działania stron, została zawarta Umowa Ugody numer [....], która doprowadziła w dniu [....] marca 2011 r. do zmiany ewidencji zobowiązania wynikającego z tytułu Umowy Karty Kredytowej [....].
Według wyjaśnień skarżącego, przetwarza on dane osobowe wnioskodawcy (również z uwagi na posiadanie przez ww. innych produktów banku niż ww. karta kredytowa) w zakresie: imiona, nazwisko, PESEL, data urodzenia, miejsce urodzenia, kraj urodzenia, obywatelstwo, status rezydencji, imiona rodziców, nazwisko panieńskie matki, adres zamieszkania, telefon komórkowy, stan cywilny, płeć, dane dotyczące posiadanych produktów, dane finansowe, dane pozyskane w związku ze złożonymi przez wnioskodawcę reklamacjami oraz prowadzonymi postępowaniami mającymi na celu odzyskanie wierzytelności, numer CIF.
Aktualnie bank przetwarza dane osobowe wnioskodawcy, pozyskane w związku z Umową Karty Kredytowej nr [....], na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679, w celu realizowanym w ramach prawnie uzasadnionego interesu banku, tj. w celu obrony przed ewentualnymi roszczeniami. Natomiast BIK przetwarza obecnie dane osobowe dotyczące wnioskodawcy w zakresie umowy karty kredytowej z dnia [....] września 2006 r. Obecnie rachunek ten ma status rachunku zamkniętego i dane przetwarzane są w celu stosowania metod wewnętrznych oraz innych metod i modeli na podstawie art. 105a ust. 4 i 5 p.b.
Zdaniem Prezesa UODO, skoro kwestionowane przez wnioskodawcę udostępnienie jego danych osobowych przez bank na rzecz BIK nastąpiło w okresie obowiązywania ustawy o ochronie danych osobowych z 1997 r., do oceny zgodności z prawem tego procesu zastosowanie mają przepisy tej ustawy. Ponadto wobec faktu, że dane osobowe wnioskodawcy są nadal przetwarzane przez bank, zastosowanie w sprawie mają również przepisy rozporządzenia 2016/679, ponieważ organ musi ocenić, czy kwestionowany proces przetwarzania danych na dzień wydania decyzji administracyjnej jest zgodny z prawem.
Odnosząc się do ustaleń stanu faktycznego organ ocenił, że w niniejszej sprawie zaistniała przesłanka bezprzedmiotowości postępowania, skutkująca jego umorzeniem na podstawie art. 105 § 1 k.p.a. Ze zgromadzonego w sprawie materiału dowodowego wynika bowiem, że bank nie przetwarza obecnie w bazie BIK danych osobowych wnioskodawcy, dotyczących Umowy Karty Kredytowej o nr [....] w kwestionowany przez niego sposób tj. na podstawie art. 105a ust. 3 p.b. Obecnie dane osobowe ww. dotyczące Umowy Karty Kredytowej nr [....] przetwarzane są w celu stosowania metod wewnętrznych oraz innych metod i modeli na podstawie art. 105a ust. 4 i 5 p.b. Zatem kwestionowany przez wnioskodawcę proces przetwarzania jego danych osobowych nie istnieje. Ponadto ww. przyczyna bezprzedmiotowości powstała po wszczęciu postępowania, a przed jego zakończeniem.
Organ ustalił też, iż aktualnie bank przetwarza dane osobowe wnioskodawcy dotyczące Umowy Karty Kredytowej nr [....] na podstawie art. 6 ust. 1 lit. f rozporządzenia 2016/679 w celu obrony przed ewentualnymi roszczeniami. Jednak zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec banku, które uzasadniałoby uprawnienie do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez ww. tego roszczenia. Brak jest zatem spełnienia wskazywanej przez skarżącego przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów, realizowanych przez administratora, odnośnie przetwarzania danych osobowych wnioskodawcy. Przesłanka z art. 6 ust 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W związku z tym, że przeprowadzone przez Prezesa UODO postępowanie administracyjne nie wykazało, aby wnioskodawca skierował wobec banku jakiekolwiek roszczenie, stwierdził, iż skarżący przetwarza dane osobowe wnioskodawcy wyłącznie "na zapas", tj. aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami wnioskodawcy.
Zdaniem organu, przyjęcie odmiennej interpretacji ww. przepisów, skutkowałoby pozbawieniem wnioskodawcy ochrony na gruncie rozporządzenia 2016/679 oraz ustawy o ochronie danych osobowych. Ponadto przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f rozporządzenia 2016/679, oznaczałoby, że dane osobowe wnioskodawcy mogą być przetwarzane przez bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwa jest sytuacja, w której wnioskodawca zwróciłby się do skarżącego z roszczeniem już po upływie terminu jego przedawnienia, zaś bank uznałby, że przetwarzanie danych osobowych wnioskodawcy ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f rozporządzenia 2016/679 w celu realizacji prawa do obrony przed ewentualnym roszczeniem wnioskodawcy również po upływie ww. terminu.
Brak jest też uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń, wynikających ze stosunków zobowiązaniowych, określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych, w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Organ stwierdził, iż skoro brak jest sporu toczącego się między wnioskodawcą i skarżącym, dotyczącego stosunku zobowiązaniowego, brak jest celu uzasadniającego przetwarzanie ww. danych osobowych wnioskodawcy, w rozumieniu art. 6 ust. 1 lit. f rozporządzenia 2016/679. Wobec powyższego, kontynuowanie do chwili obecnej przetwarzania danych osobowych wnioskodawcy w celu ustalenia, dochodzenia lub obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, jest zbędne i niezgodne z obowiązującymi przepisami o ochronie danych osobowych. W związku z tym Prezes UODO nakazał bankowi zaprzestania przetwarzania danych osobowych wnioskodawcy przetwarzanych w ww. celu.
W skardze złożonej na powołane rozstrzygnięcie do sądu administracyjnego (i jej uzupełnieniu) skarżący zaskarżył ww. decyzję w części dotyczącej punktu 2 (tj. nakazu zaprzestania przetwarzania przez bank danych osobowych wnioskodawcy w zakresie wskazanym w tym punkcie decyzji). Wniósł o uchylenie zaskarżonej decyzji w części obejmującej punkt 2 oraz zasądzenie zwrotu kosztów postępowania.
Wydanej decyzji skarżący zarzucił naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f rozporządzenia 2016/679 w związku z art. 117, art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. z 2019 r. poz. 1145, zwana dalej: k.c.) polegające na błędnej wykładni w postaci uznania przez organ, że przechowywanie danych dla celu obrony przed roszczeniami przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła roszczenia, nie stanowi prawnie uzasadnionego interesu banku w rozumieniu art. 6 ust. 1 lit. f rozporządzenia 2016/679;
Uzasadniając złożoną skargę skarżący szczegółowo uzasadnił ww. zarzuty.
W odpowiedzi na skargę organ wniósł o jej oddalenie skargi, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do treści art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r., poz. 1302 ze zm., zwana dalej: p.p.s.a), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 p.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną. Uwzględnienie skargi następuje w przypadku stwierdzenia naruszenia przez Sąd przepisów prawa, wskazanego w art. 145 § 1 pkt 1 p.p.s.a.
W pierwszej kolejności wskazać należy, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem UODO. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwana dalej: u.o.d.o.), zgodnie z którym w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego (dalej jako k.p.a.). Według zasad określonych w k.p.a., prowadzone jest też postępowanie dowodowe oraz postępowanie wyjaśniające - pozwalające ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych.
Stan faktyczny sprawy został opisany we wcześniejszej części uzasadnienia i nie jest sporny.
Skarżący przetwarza dane osobowe wnioskodawcy w zakresie: imiona, nazwisko, PESEL, data urodzenia, miejsce urodzenia, kraj urodzenia, obywatelstwo, status rezydencji, imiona rodziców, nazwisko panieńskie matki, adres zamieszkania, telefon komórkowy, stan cywilny, płeć, dane dotyczące posiadanych produktów, dane finansowe, dane pozyskane w związku ze złożonymi przez wnioskodawcę reklamacjami oraz prowadzonymi postępowaniami mającymi na celu odzyskanie wierzytelności, numer CIF.
Aktualnie bank przetwarza dane osobowe wnioskodawcy, pozyskane w związku z Umową Karty Kredytowej nr [....], na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679, w celu realizowanym w ramach prawnie uzasadnionego interesu banku, tj. w celu obrony przed ewentualnymi roszczeniami. Natomiast BIK przetwarza obecnie dane osobowe dotyczące wnioskodawcy w zakresie umowy karty kredytowej z dnia [....] września 2006 r. Obecnie rachunek ten ma status rachunku zamkniętego i dane przetwarzane są w celu stosowania metod wewnętrznych oraz innych metod i modeli na podstawie art. 105a ust. 4 i 5 p.b.
W kontekście powyższego za niezasadne uznać należy podnoszone w skardze zarzuty, dotyczące naruszenia przez Prezesa UODO przepisów prawa materialnego tj. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w związku z art. 117, 118 i 119 k.c.
Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie natomiast z art. 17 ust. 1 rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Kodeks cywilny (z dnia 23 kwietnia 1964 r., tj. Dz.U. 2019, poz.1145) w art. 117 § 1 stanowi, że z zastrzeżeniem wyjątków w ustawie przewidzianych, roszczenia majątkowe ulegają przedawnieniu. Stosownie do § 2, po upływie terminu przedawnienia ten, przeciwko komu przysługuje roszczenie, może uchylić się od jego zaspokojenia, chyba że zrzeka się korzystania z zarzutu przedawnienia. Jednakże zrzeczenie się zarzutu przedawnienia przed upływem terminu jest nieważne. W myśl § 21 po upływie terminu przedawnienia nie można domagać się zaspokojenia roszczenia przysługującego przeciwko konsumentowi.
Zgodnie z art. 118 k.c. jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej - trzy lata. Jednakże koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego, chyba że termin przedawnienia jest krótszy niż dwa lata. Na podstawie art. 119 k.c., terminy przedawnienia nie mogą być skracane ani przedłużane przez czynność prawną.
Jako podstawę aktualnego przetwarzania danych osobowych wnioskodawców, bank wskazał zabezpieczenie swoich interesów w przypadku ewentualnego dochodzenia przez wnioskodawcę ewentualnych roszczeń. Jednak zebrany przez organ w toku postępowania administracyjnego materiał dowodowy nie wykazał, by wnioskodawca wystąpił wobec banku z jakimkolwiek roszczeniem, które uprawniłoby bank do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez nich tego roszczenia.
Gdyby natomiast (hipotetycznie) wnioskodawca wystąpił z roszczeniami do sądu powszechnego, musiałby podać wszystkie swoje dane osobowe, niezbędne do prowadzenia postępowania, określone w kodeksie postępowania cywilnego (dalej jako k.p.c.).
Przepis art. 126 § 1 k.p.c. stanowi, że każde pismo procesowe powinno zawierać:
1) oznaczenie sądu, do którego jest skierowane;
2) imiona i nazwiska lub nazwy stron, ich przedstawicieli ustawowych i pełnomocników;
3) oznaczenie rodzaju pisma;
4) osnowę wniosku lub oświadczenia;
5) w przypadku gdy jest to konieczne do rozstrzygnięcia co do wniosku lub oświadczenia - wskazanie faktów, na których strona opiera swój wniosek lub oświadczenie, oraz wskazanie dowodu na wykazanie każdego z tych faktów;
6) podpis strony albo jej przedstawiciela ustawowego lub pełnomocnika;
7) wymienienie załączników.
Zgodnie z § 2, gdy pismo procesowe jest pierwszym pismem w sprawie, powinno ponadto zawierać oznaczenie przedmiotu sporu oraz:
1) oznaczenie miejsca zamieszkania lub siedziby i adresy stron albo, w przypadku gdy strona jest przedsiębiorcą wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej - adres do korespondencji wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej;
11) oznaczenie miejsca zamieszkania lub siedziby i adresy przedstawicieli ustawowych i pełnomocników stron;
2) numer Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) lub numer identyfikacji podatkowej (NIP) powoda będącego osobą fizyczną, jeżeli jest on obowiązany do jego posiadania lub posiada go nie mając takiego obowiązku lub
3) numer w Krajowym Rejestrze Sądowym, a w przypadku jego braku - numer w innym właściwym rejestrze, ewidencji lub NIP powoda niebędącego osobą fizyczną, który nie ma obowiązku wpisu we właściwym rejestrze lub ewidencji, jeżeli jest on obowiązany do jego posiadania.
Bank, jako hipotetyczny pozwany, nie musi więc przechowywać tak daleko idących danych wnioskodawcy, jak ustalone w sprawie, na wypadek wystąpienia przez niego z ewentualnymi roszczeniami ("na zapas"), gdyż w potencjalnie wniesionym pozwie musiałyby one zostać przez wnioskodawcę podane, więc Bank miałby do nich pełny wgląd. Brak w pozwie tych danych wnioskodawcy musiałby zostać uzupełniony pod rygorem zwrotu pozwu (art.130 k.p.c.), wnioskodawca nie może więc uniknąć ich podania.
Prawidłowo zatem organ uznał, że brak jest spełnienia wskazywanej przez bank przesłanki niezbędności przetwarzania danych do celów, wynikających z prawnie usprawiedliwionych interesów, realizowanych przez administratora odnośnie przetwarzania skarżonych danych osobowych. Przesłanka z art. 6 ust 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych, przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
W orzecznictwie sądów administracyjnych w odniesieniu do przesłanki analogicznej do art. 6 ust. 1 lit. f rozporządzenia 2016/679 wynikającej z art. 23 ust. 1 pkt 5 uprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) wypracowane zostało stanowisko, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Przeciwna argumentacja prowadziłaby do absurdalnych wniosków, że banki są uprawnione dłużej przetwarzać dane osób, z którymi nie łączył je stosunek prawny, niż dane osób z którymi doszło do zawarcia umowy kredytowej, a w stosunku do których mają zastosowanie ograniczenia wynikające z przepisów art. 105a Prawa bankowego. Odwoływanie się w tym wypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych jakie klient mógłby potencjalnie wtoczyć bankowi na tle nieistniejącego miedzy stronami stosunku zobowiązaniowego, nie znajduje żadnego logicznego, ani prawnego uzasadnienia (por. wyroki: Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 12 lipca 2017 r. sygn. akt II SA/Wa 2221/16, Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, Naczelnego Sądu Administracyjnego z dnia 6 marca 2019 r. sygn. akt I OSK 994/17, publ.: orzeczenia.nsa.gov.pl).
Sąd w tym składzie podziela stanowisko organu, że wskazana przez bank podstawa nie uzasadnia przetwarzania danych osobowych wnioskodawcy, bowiem nie wystąpił on z żadnym roszczeniem wobec banku. Tym samym przetwarzanie jego danych osobowych nie ma umocowania w przepisach prawa i nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez bank, a w szczególności podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi.
Niezasadny jest podniesiony w skardze zarzut, dotyczący naruszenia art. 6 pkt 1 lit. f rozporządzenia 2016/679 w związku z art. 117 § 2 i § 21, art. 118 i art. 119 k.c., bowiem jak przedstawiono wyżej Prezes UODO prawidłowo wywiódł, że określona tym przepisem podstawa przetwarzania danych osobowych w niniejszej sprawie nie wystąpiła.
Mając na uwadze powołane okoliczności, Sąd działając na podstawie art. 151 p.p.s.a., orzekł o oddaleniu skargi.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 12.07.2026. · Źródło