Przetwarzanie danych osobowych klienta banku po wygaśnięciu umowy kredytowej

Opracowanie: Michał Kowalski

Niedawny wyrok NSA utrwalił linię orzeczniczą dotyczącą przetwarzania danych osobowych byłego klienta banku po wygaśnięciu umowy kredytowej. Spór na tym tle dotyczył interpretacji art. 105a ust. 3 Prawa bankowego, które wprowadza szczególne zasady przetwarzania danych osobowych takich klientów, nieprzewidziane w przepisach RODO. Zgodnie z tym przepisem banki mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób, których dane dotyczą:

• po wygaśnięciu zobowiązania wynikającego z umowy kredytowej,

• bez zgody byłego klienta,

• gdy były klient nie wykonał zobowiązania lub dopuścił się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy,

• po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Jeżeli w tym terminie klient spłaci swój dług, bank nie będzie mógł przetwarzać jego danych, ponieważ doszłoby wówczas do naruszenia art. 105a ust. 3 Prawa bankowego.

W aż 11 wyrokach Naczelny Sąd Administracyjny orzekł zgodnie z decyzjami Prezesa Urzędu Ochrony Danych Osobowych. Są to następujące orzeczenia:

• III OSK 1428/24 (decyzja Prezesa UODO DS.523.3941.2021),

• III OSK 1763/24 (decyzja Prezesa UODODS.523.1980.2022),

• III OSK 3059/23 (decyzja Prezesa UODODS.523.2319.2021),

• III OSK 7477/21 (decyzja Prezesa UODOZSPR.440.1590.2019),

• III OSK 2833/22 (decyzja Prezesa UODODS.523.6082.2020),

• III OSK 1575/22 (decyzja Prezesa UODODS.523.3589.2020),

• III OSK 191/23 (decyzja Prezesa UODODS.523.5493.2020),

• III OSK 251/23 (decyzja Prezesa UODO DS.523.445.2021),

• III OSK 2672/23 (decyzja Prezesa UODO DS.523.945.2022),

• III OSK 2300/23 (decyzja Prezesa UODO DS.523.6935.2021),

• III OSK 2714/23 (decyzja Prezesa UODO DS.523.4046.2022).

NSA potwierdził stanowisko, że to bank jako administrator danych osobowych musi udowodnić, iż poinformował byłego kredytobiorcę o zamiarze przetwarzania jego danych osobowych bez jego zgody, a także wykazać upływ 30-dniowego terminu. Innymi słowy bank musi być w stanie wykazać datę skutecznego poinformowania klienta o zamiarze przetwarzania jego danych. Dlaczego jest to konieczne? Otóż w międzyczasie klient może spłacić swoje zobowiązanie, a to oznacza brak możliwości dalszego gromadzenia jego danych osobowych.

Co istotne, wymagane jest tu "poinformowanie" a więc skuteczne przekazanie informacji dotyczących zamiaru przetwarzania klientowi banku np. osobiście w placówce bankowej, przez przesyłkę bankową doręczoną listem ewentualnie przez pracownika lub współpracownika banku, a nawet drogą elektroniczną (o ile strony w zawartej umowie przewidziały taką formę korespondencji).

Naczelny Sąd Administracyjny potwierdził także, że samo opóźnienie się z wykonaniem zobowiązania przez byłego klienta przez co najmniej 60 dni nie upoważnia banku do przetwarzania jego danych według art. 105a ust. 3 Prawa bankowego. Wymagany jest także upływ ww. 30-dniowego terminu, który rozpoczyna swój bieg dopiero od momentu skutecznego udzielenia informacji klientowi a nie automatycznie.