Konieczność usuwania na żądanie klientów ich danych zaraz po zrealizowaniu umowy utrudni, a nawet uniemożliwi rozstrzyganie reklamacji czy innych roszczeń – ostrzegają prawnicy. NSA uznał, że klienci mają prawo domagać się usunięcia danych po wykonaniu umowy.

Przedsiębiorcy nie mogą przetwarzać danych osobowych na zapas, a tym właśnie jest ich przechowywanie jedynie na wypadek ewentualnego pojawienia się w przyszłości jakichś roszczeń – orzekł Naczelny Sąd Administracyjny w wyroku, którego uzasadnienie zostało opublikowane w ostatnim czasie. Tym samym NSA ostatecznie utrzymał w mocy decyzję prezesa Urzędu Ochrony Danych Osobowych, który uznał, że skoro umowa między przedsiębiorcą a klientem jest zrealizowana, to nie ma podstaw prawnych do dalszego przetwarzania danych tego ostatniego. A ich przechowywanie na wypadek ewentualnych niesprecyzowanych roszczeń oznacza przetwarzanie „na zapas”.

- Obawiam się konsekwencji takiego poglądu dla całego sektora gospodarczego. Taka interpretacja przepisów ostatecznie uderzy również w samych konsumentów. Jeśli sklep internetowy zaraz po zrealizowaniu dostawy będzie musiał usunąć dane klienta, to skąd w przypadku reklamacji złożonej po kilku miesiącach ma wiedzieć, że w ogóle sprzedał jakiś towar tej osobie? – ostrzega dr hab. Arwid Mednis, wykładowca Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, wspólnik w kancelarii Kobylańska Lewoszewski Mednis, która reprezentowała bank w rozstrzygniętej sprawie.

- Inny przykład – kredyty frankowe. Zdarza się, że długo po spłacie kredytobiorcy domagają się unieważnienia umowy. Bez ich danych bank nie będzie nawet w stanie ustosunkować się do tych żądań. Przecież usunięcie danych nie może pozbawiać konsumenta prawa do dochodzenia roszczenia – dodaje prawnik.

Dane trzeba usuwać, nie można ich przechowywać na zapas

Rozstrzygnięta przez NSA sprawa dotyczyła Banku Millennium, który prowadził konta pewnego małżeństwa. Ostatecznie wszystkie zostały zamknięte. Klienci cofnęli też zgodę na przetwarzanie ich danych osobowych, jednak bank, wysyłając im miesięczny wyciąg z rachunków, zamieścił na nim również informację z ofertą nowej lokaty. W tym czasie sprawę ze skargi małżeństwa prowadził już prezes UODO. W korespondencji z nim bank wyjaśnił, że przetwarza dane klientów (np. imiona, nazwiska, numery PESEL czy dane dotyczące posiadanych produktów bankowych) wyłącznie na podstawie prawnie uzasadnionego interesu, o którym mówi art. 6 ust. 1 lit. f RODO (patrz: grafika). Innymi słowy - przechowuje dane na wypadek dochodzenia lub obrony przed ewentualnymi roszczeniami.

Prezes UODO uznał, że ewentualne przyszłe roszczenia ze strony byłego klienta nie uzasadniają przetwarzania danych osobowych przez bank, gdy stron nie wiąże już umowa, i nakazał usunięcie wszystkich danych małżeństwa. Decyzję tę podtrzymał najpierw WSA, a ostatnio NSA.

„Prawidłowe jest stanowisko sądu I instancji, że niedopuszczalne jest przetwarzanie danych osobowych niejako »na zapas« z założeniem, że mogą być one ewentualnie przydatne w przyszłości” – można przeczytać w uzasadnieniu orzeczenia NSA (wyrok z 8 stycznia 2025 r., sygn. akt III OSK 4868/21).

Roszczenia mogą się pojawić po latach

Zdaniem NSA, skoro dotychczas klienci nie wystąpili do banku z żadnymi roszczeniami, to ewentualna możliwość ich wysunięcia w przyszłości nie stanowi prawnie uzasadnionego interesu.

- NSA zdaje się nie dostrzegać dość elementarnej specyfiki obrotu gospodarczego i stosunków cywilnoprawnych. Ta zaś sprawia, że klienci banków mogą występować (i w praktyce występują) z roszczeniami, nawet wiele lat po ustaniu określonego stosunku prawnego (np. po spłacie kredytu). Przyczyny zupełnego przemilczenia przez NSA tego – absolutnie kluczowego dla obrotu – zagadnienia doprawdy trudno jest odgadnąć – komentuje dr Damian Karwala, radca prawny w kancelarii CMS.

- Nie zgadzam się z tezą, że dane przechowywane na wypadek ewentualnych roszczeń są przetwarzane „na zapas”. Moim zdaniem prawnie uzasadniony interes jest oczywisty, co więcej, posiadanie danych przez okres przedawnienia roszczeń może leżeć w interesie klienta – mówi dr hab. Arwid Mednis. I dodaje, że w sektorze bankowym obowiązuje również tzw. ustawa reklamacyjna, która nie ogranicza klientów co do terminu zgłaszania reklamacji. Usunięcie danych spowoduje, że bank nie będzie w stanie rozpatrzeć reklamacji złożonej po zakończeniu umowy.

UODO zapewnia, że nakaz usunięcia danych jest kierowany do administratora wyłącznie wtedy, gdy nie może on wykazać żadnej podstawy prawnej do przetwarzania danych.

- Ustanie relacji umownej nie oznacza automatycznie, że administrator natychmiast musi usunąć dane byłego klienta, w tym również całą historię związaną z obsługą klienta i zawartą umową. Przepisy przewidują bowiem długą listę sytuacji, w których administrator ma obowiązek dalszego przetwarzania danych byłego klienta przez stosunkowo długie okresy – zaznacza Karol Witowski, rzecznik prasowy UODO. I wskazuje m.in. na art. 74 ust. 1, 2 i 3 ustawy o rachunkowości (t.j. Dz.U. z 2023 r. poz. 120 ze zm.), art. 49 ust. 1 i 2 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2023 r. poz. 1124 ze zm.) czy art. 70 par. 1 w zw. z art. 86 par. 1 ustawy - Ordynacja podatkowa (t.j. Dz.U. z 2025 r. poz. 111).

Będą kolejne wyroki, firmy mogą mieć poważne problemy

Na ostateczne rozstrzygnięcie czeka co najmniej kilkanaście innych decyzji prezesa UODO nakazujących usunięcie danych osobowych klientów, z którymi rozwiązano umowy. W I instancji zapadały w nich różne wyroki – część sądów dochodziła do wniosku, że sama możliwość wysunięcia roszczeń może stanowić podstawę do przetwarzania danych, część uznawała tak, jak w ostatniej sprawie NSA.

- Na razie traktowałbym ten wyrok jako jednostkowy, wydany w konkretnej sprawie, choćby z tego względu, że nie dotyczy on żadnej innej podstawy przetwarzania danych poza ewentualnymi roszczeniami – mówi Sławomir Kowalski, adwokat i partner w kancelarii _Just_LAW.

- Gdyby jednak był to początek linii orzeczniczej nakazującej usuwanie wszystkich danych po realizacji umowy, to będzie to oznaczać problem w zasadzie dla wszystkich branż. Przy czym dla niektórych problem poważny, łącznie z brakiem możliwości obrony przed roszczeniami – przyznaje prawnik.

Problem, jaki mogą mieć przedsiębiorcy, dobrze ilustruje inny spór - dotyczący wynajmu samochodów. Jeden z klientów był przekonany, że firma wynajmująca auta przekazała skan jego prawa jazdy osobie postronnej. Po przeprowadzeniu postępowania prezes UODO nie znalazł na to dowodów, ale zgodnie z żądaniem wydał decyzję nakazującą usunięcie imienia, nazwiska, adresu, numeru dowodu osobistego i numeru prawa jazdy. WSA w Warszawie uznał ją za prawidłową. Jego zdaniem firma nie wykazała, żeby przetwarzanie danych było niezbędne do celów wynikających z prawnie usprawiedliwionych interesów (sygn. akt II SA/Wa 1340/20).

Co jeśli po kilku miesiącach od wynajmu samochodu, gdy firma wykasuje na żądanie klienta jego dane, przyjdzie mandat za przekroczenie prędkości albo ktoś zgłosi, że kierowca uszkodził jego auto? Nie mając danych klienta, który wypożyczył jego pojazd, przedsiębiorca nie będzie mógł wysunąć wobec niego roszczeń.

Zdaniem sądów uznających, że przyszłe i niepewne roszczenia nie mogą stanowić podstawy do przetwarzania danych osobowych, w przypadku ewentualnego roszczenia przedsiębiorcom siłą rzeczy zostaną przekazane niezbędne dane. W uzasadnieniu wyroku I instancji dotyczącego Banku Millennium WSA w Warszawie napisał, że „gdyby (hipotetycznie) wnioskodawcy wystąpili z roszczeniami do sądu powszechnego, musieliby podać wszystkie swoje dane osobowe, niezbędne do prowadzenia postępowania, określone w kodeksie postępowania cywilnego. Bank, jako hipotetyczny pozwany, miałby wtedy do nich pełny wgląd”. Nie przekonuje to jednak zapytanych przez nas prawników.

- Nie trzeba być specjalistą od postępowania cywilnego, aby uznać, że coś tu jest nie tak. Podważałoby to chronione konstytucją i konwencjami międzynarodowymi prawo do obrony przed sądem, a wręcz stwarzałoby warunki do wnoszenia fikcyjnych powództw, i tym samym narażałoby obrót gospodarczy (nie tylko bankowy) na oszustwa, a w najgorszym przypadku – na destabilizację – podkreśla dr Damian Karwala.