Firmy często traktują dane osobowe jak polisę ubezpieczeniową – gromadzą je „na wszelki wypadek”, licząc, że przydadzą się w przyszłości. Zwłaszcza gdy w grę wchodzą potencjalne roszczenia klientów. Brzmi rozsądnie? Nie według Naczelnego Sądu Administracyjnego (NSA), który w wyroku z 8 stycznia 2025 r. (sygn. III OSK 4868/21) orzekł, że zbieranie danych ,,na zapas”, gdy przyszłe, ewentualne roszczenia nie występują a stron nie wiąże umowa, jest bezzasadne a twierdzenie: „A może się przyda…” nie może być celem do przetwarzania danych na podstawie prawnie uzasadnionego interesu administratora.
Ostatni wyrok NSA w sprawie Banku Millennium to kubeł zimnej wody dla wszystkich administratorów danych, którzy trzymają dane byłych klientów na wypadek, gdyby w przyszłości miała wystąpić potrzeba dochodzenia ewentualnych roszczeń. Czy to koniec „profilaktycznego” przetwarzania danych? Wiele na to wskazuje. Wyrok jest prawomocny.
Co się wydarzyło? Historia, którą warto znać
Pewne małżeństwo zamknęło swoje rachunki w Banku Millennium oraz wniosło sprzeciw wobec przetwarzania ich danych osobowych na potrzeby marketingu przez bank. Sprawa powinna być zamknięta – ale nie była. Po pewnym czasie bank ponownie skontaktował się z nimi w celach marketingowych, mimo, że oficjalnie nie miał już do tego podstawy prawnej.
Małżeństwo zgłosiło skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), a ten orzekł, że bank powinien natychmiast usunąć dane byłych klientów, z czym Bank się nie zgodził – argumentował, że przechowywanie danych jest konieczne, bo może kiedyś trzeba będzie bronić się przed potencjalnymi roszczeniami z ich strony.
Sprawa trafiła do sądu. Najpierw Wojewódzki Sąd Administracyjny (WSA) w Warszawie, a potem NSA jednogłośnie orzekły: „przetwarzanie danych ,,na zapas” jest niedopuszczalne. Bank Millennium przegrał, a ten wyrok to ważny sygnał dla wszystkich firm, które do tej pory działały według zasady: „lepiej mieć niż nie mieć”.
Uzasadniony interes – co oznacza naprawdę?
Czy wiesz, że RODO wcale nie zabrania przechowywania danych w celu obrony przed roszczeniami? To prawda – ale pod jednym warunkiem: roszczenie musi istnieć, a nie być jedynie potencjalnym scenariuszem.
Bank powoływał się na art. 6 ust. 1 lit. f RODO, czyli uzasadniony interes administratora. NSA przypomniał jednak, że uzasadniony interes to nie kryształowa kula, w której przewidujemy przyszłe procesy sądowe.
NSA podkreślił, że przetwarzanie danych na podstawie prawnie uzasadnionego interesu administratora jest legalne wówczas, gdy:
- przetwarzanie danych jest niezbędne do osiągnięcia ściśle określonego celu,
- określony cel wynika z prawnie uzasadnionego interesu administratora, który jest faktyczny, a nie hipotetyczny,
- prawnie uzasadniony interes administratora przewyższa wobec interesów lub podstawowych praw i wolności osób, których dane są przetwarzane.
W sprawie Banku Millennium żaden z tych warunków nie był spełniony. Nie było żadnego realnego sporu, żadnego roszczenia, żadnej konkretnej podstawy prawnej – tylko hipotetyczna możliwość, że kiedyś coś się wydarzy.
Konsekwencje dla firm – na co uważać?
Wyrok NSA to nie tylko problem dla banków. To ostrzeżenie dla każdej firmy, która zbiera, przechowuje i przetwarza dane byłych klientów, kontrahentów czy pracowników w celu dochodzenia potencjalnych roszczeń cywilno-prawnych. Jeśli w twojej organizacji panuje zasada „przechowujemy na wszelki wypadek”, czas na rewizję polityki ochrony danych.
Co warto zapamiętać?
- Nie można trzymać danych „na zapas” – jeżeli nie mamy ku temu konkretnego celu i nie dysponujemy podstawą prawną, dane nie powinny być przetwarzane,
- Obowiązek wykazania legalności przetwarzania leży po stronie administratora – to administrator musi udowodnić, że działa zgodnie z RODO,
- Brak procedur retencji danych to proszenie się o kłopoty – jeśli w firmie nie ma jasnych zasad dotyczących przechowywania i usuwania danych, ryzyko naruszeń wzrasta.
Jak uniknąć podobnych problemów?
Jeśli jako przedsiębiorca nie chcesz znaleźć się w sytuacji Banku Millennium, to zacznij od podstaw:
- Przejrzyj politykę przechowywania danych – czy twoja firma nie trzyma danych dłużej, niż to konieczne?
- Weryfikuj podstawy prawne przetwarzania – czy każda decyzja o zachowaniu danych jest uzasadniona i zgodna z RODO?
- Prowadź rejestr czynności przetwarzania – jeśli kiedykolwiek będziesz musiał się tłumaczyć, lepiej mieć dowody na legalność swoich działań.
- Usuń dane, jeżeli nie masz żadnej podstawy do ich przechowywania – zweryfikuj, czy dysponujesz konkretną podstawą prawną, która daje Ci możliwość przetwarzania danych w konkretnym celu.
- Szkol pracowników – nawet najlepsza polityka ochrony danych nic nie da, jeśli twój zespół nie rozumie jej zasad.
Dane osobowe to gorący kartofel – nie trzymaj ich bez powodu
Firmy muszą zmienić swoje podejście do przechowywania danych osobowych. Nie są one „zapasowym” zasobem, który można przechowywać na wszelki wypadek. Jeśli nie ma realnej podstawy prawnej do ich przetwarzania, powinny zostać usunięte.
NSA jasno wskazał, że hipotetyczne roszczenia nie usprawiedliwiają przechowywania danych. To administrator ponosi odpowiedzialność za to, żeby dane przetwarzać legalnie, a nie klienci, których dane są wciąż w bazie.
RODO to nie tylko obowiązek – to realne zasady, których przestrzeganie pozwala uniknąć poważnych problemów prawnych i finansowych. Warto więc działać proaktywnie i upewnić się, że firma nie przetwarza danych „na zapas” – bo takie podejście może się skończyć równie kosztownie jak w przypadku Banku Millennium.
