Granice przetwarzania danych byłych i niedoszłych klientów banków
Ochrona danych osobowych w sektorze finansowym od lat stanowi przedmiot zainteresowania organów nadzorczych i sądów administracyjnych. W ostatnim czasie rynek zastanawia się nad odpowiedzią na pojawiające się jednak istotne pytanie: czy banki mogą przetwarzać dane osobowe także po zakończeniu relacji z klientem albo w sytuacji, gdy relacja taka nigdy nie została nawiązana?
Dyskusja a ten temat jest pokłosiem najnowszych wyroków Naczelnego Sądu Administracyjnego (NSA). Orzeczenia NSA pokazują, jak skomplikowana bywa odpowiedź na to pytanie. Z jednej strony banki argumentują potrzebę dalszego przetwarzania danych ze względów organizacyjnych czy dowodowych, z drugiej strony przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) obligują do ścisłego przestrzegania zasady ograniczenia celu. Sprawy dotyczące Santander Consumer Banku oraz ING Banku Śląskiego, wraz z wcześniejszymi decyzjami Prezesa Urzędu Ochrony Danych Osobowych (PUODO), wyznaczają ważny kierunek dla praktyki rynkowej, pokazując, gdzie zdaniem organu nadzorczego i sądów kończą się granice dopuszczalnego przetwarzania danych osobowych.
Przetwarzanie danych po zakończeniu relacji i bez jej nawiązania
W pierwszej ze spraw, zakończonej wyrokiem NSA (sygn. akt III OSK 1594/22), analizowano praktykę Santander Consumer Banku, który przechowywał dane osobowe byłego klienta po zakończeniu umowy kredytowej. PUODO decyzją DS.440.197.2019 nakazał usunięcie danych osobowych klienta. W swojej argumentacji organ nadzoru wskazał, że bank nie miał podstawy prawnej do dalszego przetwarzania informacji po spłacie zobowiązania. Bank powoływał się na przesłankę uzasadnionego interesu (przyp. art. 6 ust. 1 lit. f RODO). Stanowiska tego nie podzieliły jednak zarówno sam organ nadzorczy, jak również sądy administracyjne – te wojewódzkie, a następnie NSA.
NSA potwierdził, że bank nie przedstawił wystarczającego uzasadnienia dla dalszego przetwarzania danych po zakończeniu relacji umownej. Sąd wskazał ponadto, że dane osobowe nie mogą być przetwarzane w nieskończoność, a hipotetyczne przyszłe potrzeby dowodowe nie stanowią wystarczającej podstawy do ich przechowywania. Wyrok ten stanowi więc jasny sygnał dla instytucji finansowych, że muszą one wykazać konkretny, rzeczywisty interes prawny w dalszym przechowywaniu danych osobowych byłych klientów.
Drugie rozstrzygnięcie z kolei, wyrok NSA (sygn. akt III OSK 165/22), dotyczyło ING Banku Śląskiego oraz Biura Informacji Kredytowej (BIK). Przypadek ten odnosił się do sytuacji osoby fizycznej, która złożyła do banku wniosek kredytowy. Ostatecznie nie doszło do zawarcia umowy. Mimo to dane tej osoby zostały przekazane do BIK i były tam przechowywane. PUODO decyzją DS.523.70.2020 uznał, że przetwarzanie tych danych nie znajduje jakiejkolwiek podstawy prawnej, co także potwierdziły sądy administracyjne.
NSA jednoznacznie wskazał, że brak zawarcia umowy kredytowej oznacza brak dalszych podstaw do przetwarzania danych osobowych. W ocenie sądu złożenie wniosku nie tworzy samoistnie trwałej podstawy prawnej. Dane osób, które nie zostały klientami banku, powinny być usuwane po zrealizowaniu pierwotnego celu. W tym przypadku była nim wyłącznie ocena zdolności kredytowej. Wyrok ten pokazuje konieczność bieżącej weryfikacji celowości przetwarzania danych oraz respektowania zasady minimalizacji.
Konsekwencje dla sektora finansowego
Opisywane wyroki NSA oraz wcześniejsze decyzje PUODO stanowią istotny sygnał ostrzegawczy dla sektora finansowego. Są także materiałem do analizy dla szerszego grona administratorów danych. Przypominają one o kluczowej roli zasady ograniczenia celu oraz konieczności ciągłego weryfikowania podstaw prawnych przetwarzania danych osobowych. O ile przetwarzanie danych w ramach trwających relacji klient-bank znajduje uzasadnienie w przepisach prawa, o tyle kontynuowanie takiego przetwarzania po wygaśnięciu stosunku prawnego lub jego niezawiązaniu wymaga szczególnej ostrożności. Opieranie się wyłącznie na hipotetycznych scenariuszach przyszłości może bowiem nieść ze sobą szereg ryzyk.
Analizowane orzecznictwo podkreśla również znaczenie terminowego usuwania danych, które jest możliwe wyłącznie przy systematycznym weryfikowaniu przez administratorów faktycznej potrzeby ich przechowywania. Ignorowanie tych zasad może przyczyniać się do interwencji organu nadzorczego, skutkującej poważnymi sankcjami finansowymi. Wyroki NSA wskazują bowiem wyraźnie, że obowiązkiem administratora jest ciągłe uzasadnianie potrzeby przetwarzania danych osobowych. Każdorazowe przetwarzanie bez ważnej podstawy może zostać uznane za niezgodne z prawem.
FAQ- NSA o danych byłych klientów banków
Czy banki mogą przetwarzać dane byłych klientów po zakończeniu umowy?
Nie. NSA potwierdził, że po ustaniu stosunku umownego brak jest podstawy prawnej do dalszego przechowywania danych osobowych, jeśli nie jest to niezbędne do realizacji konkretnego celu, np. dochodzenia roszczeń.
Czy można przetwarzać dane osób, które ostatecznie nie zostały klientami?
Nie. Jeżeli nie doszło do zawarcia umowy, bank nie ma podstaw do dalszego przetwarzania danych pozyskanych w procesie oceny zdolności kredytowej.
Czy hipotetyczne roszczenia uzasadniają przetwarzanie danych?
Nie. Potencjalne, przyszłe roszczenia nie stanowią samodzielnej przesłanki prawnej do dalszego przetwarzania danych osobowych.
Kiedy bank może zachować dane byłego klienta?
Tylko wtedy, gdy jest to konieczne do dochodzenia istniejącego roszczenia lub spełnienia obowiązków wynikających z przepisów prawa.
Jak możemy Cię wesprzeć?
Zmiany w podejściu do przetwarzania danych byłych i niedoszłych klientów oznaczają dla banków konieczność weryfikacji procesów oraz dostosowania dokumentacji i procedur do aktualnych wymogów prawa i orzecznictwa. Nasz zespół może pomóc Ci w tym procesie poprzez:
- Przegląd i audyt procedur przetwarzania danych osobowych pod kątem zgodności z aktualnymi przepisami i stanowiskiem NSA.
- Opracowanie polityk retencji danych, w tym zasad usuwania danych po ustaniu relacji z klientem lub po zakończeniu procesu oceny zdolności kredytowej.
- Przygotowanie wzorów dokumentów – wniosków, zgód, aneksów – które zabezpieczą bank przed zarzutem bezpodstawnego przetwarzania danych.
- Szkolenia dla pracowników działów compliance, windykacji i obsługi klienta z zakresu nowych wymogów.
- Wsparcie w postępowaniach przed UODO i sądami administracyjnymi w przypadku sporów dotyczących przetwarzania danych.
Dzięki połączeniu wiedzy prawnej i doświadczenia w pracy z sektorem finansowym, pomagamy bankom nie tylko uniknąć ryzyk prawnych, ale też budować zaufanie klientów poprzez transparentne i zgodne z prawem praktyki w zakresie ochrony danych.
