Bank nie może przetwarzać danych osobowych na zapas, tj. na wypadek ewentualnych przyszłych roszczeń ze strony byłego klienta. W ten sposób bank narusza podstawowe zasady minimalizacji i ograniczenia celu przetwarzania. Stanowisko to potwierdził Naczelny Sąd Administracyjny w sprawie dotyczącej Banku Millennium.
Opracowanie: Michał Kowalski
NSA oddalił skargę kasacyjną banku od wyroku WSA w Warszawie II SA/Wa 607/20, podtrzymując tym samym decyzję Prezesa Urzędu Ochrony Danych Osobowych. Sprawa dotyczyła przetwarzania danych osobowych byłych klientów banku mimo zamknięcia ich rachunków i złożenia sprzeciwów na przetwarzanie danych osobowych w celach marketingowych. Bank nadal przetwarzał ich dane np. w korespondencji marketingowej. Przetwarzanie to uzasadniał koniecznością zabezpieczenia swojego interesu na wypadek przyszłych roszczeń klientów. To spotkało się z reakcją byłych klientów w postaci skargi do Prezesa UODO. Organ nadzorczy wskazał, że przetwarzanie danych na zapas w celu zabezpieczenia przed roszczeniami, które mogą nie wystąpić, nie znajduje prawnego uzasadnienia. Stanowisko to zostało poparte przez WSA, jak i NSA.
W ocenie NSA bank nie może przetwarzać danych osobowych na podstawie art. 6 ust. 1 lit. f RODO w celu obrony przed ewentualnymi roszczeniami byłych klientów. Nie jest to bowiem prawnie uzasadniony interes administratora, o którym mowa we wskazanym przepisie RODO. Aby przetwarzanie na podstawie art. 6 ust. 1 lit. f RODO było legalne, muszą zostać spełnione następujące przesłanki:
po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne;
cele te wynikają z „prawnie uzasadnionych interesów” realizowanych przez administratora;
„prawnie uzasadnione interesy” realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.
Ewentualne roszczenia nie są tożsame z istniejącymi celami administratora. Oznacza to, że przetwarzanie danych na podstawie art. 6 ust. 1 lit. f RODO byłoby uzasadnione, gdyby istniało roszczenie klienta wobec banku.
Nieistniejące a jedynie potencjalne roszczenie nie może uzasadniać przetwarzania danych osobowych klienta, z którym administratora nie łączy już umowa.
wyrok Naczelnego Sądu Administracyjnego z dnia 8 stycznia 2025 r. (III OSK 4868/21)
serwis UODO
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
