NSA: banki nie mogą przechowywać danych osobowych byłych i niedoszłych klientów

Przeczytaj także: UODO pyta Sąd Najwyższy o anonimizację charakteru pisma

Banki nie mogą przetwarzać danych byłych i niedoszłych klientów – NSA potwierdza

Naczelny Sąd Administracyjny uwzględnił dwie skargi kasacyjne Prezesa UODO. W jednej z nich stwierdził, że ewentualne przyszłe roszczenia byłego klienta banku nie uzasadniają przetwarzania jego danych osobowych. W drugiej zaś, że bank, jak i BIK są zobowiązane do zaprzestania przetwarzania danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy.

Przyszłe roszczenia byłego klienta nie uzasadniają przetwarzania jego danych

W pierwszej ze spraw (sygn. akt. III OSK 1594/22) NSA uznał za słuszne argumenty Prezesa UODO, który nakazał usunąć dane byłego klienta Santander Consumer Bank. W wyroku z 10 lipca 2025 r. sąd ten zgodził się z organem nadzorczym, że administrator nie może powoływać się na uzasadniony interes (art. 6 ust. 1 lit. f RODO) i przetwarzać danych osoby, z którą nie łączy go już umowa.

W sprawie tej bank sprzedał wierzytelność klienta innemu podmiotowi. A podstawę przetwarzania jego danych widział w uzasadnionym interesie związanym z ewentualnymi roszczeniami, np. klienta wobec banku.

NSA - rozpatrując skargę Prezesa UODO na wyrok WSA - uznał, że organ nadzorczy prawidłowo ocenił, że bank nie wskazał istnienia roszczeń, których zaspokojenia domaga się od Skarżącego oraz nabywcy wierzytelności, jak również nie wykazał, aby zaspokojenia roszczeń domagał się od banku nabywca wierzytelności lub Skarżący. Naczelny Sąd Administracyjny podzielił stanowisko Prezesa UODO, że ewentualne i niepewne roszczenia, które hipotetycznie mogłyby pojawić się w przyszłości nie są wystarczającą przesłanką uzasadniającą przetwarzanie takich danych. A skoro nie istnieje cel, który uzasadniałby przetwarzanie danych osobowych byłego klienta, to należy je usunąć.

Decyzja Prezesa UODO, której dotyczył wyrok NSA: DS.440.197.2019