Cała sprawa została zapoczątkowana skargą pewnego małżeństwa, która została złożona do organu nadzorczego. Skarżący byli byłymi klientami administratora. W ich ocenie bank przetwarzał ich dane osobowe, mimo że ich rachunki zostały zamknięte, a dodatkowo złożyli oni sprzeciwy wobec przetwarzania ich danych osobowych. Skarżący wskazali, że pomimo podjętych działań w tym zakresie ukarany bank przesyłał im korespondencję o charakterze marketingowym. Po przeprowadzeniu postępowania w tej sprawie Prezes UODO wskazał, że w jego ocenie przetwarzanie danych osobowych nie miało w tym przypadku podstawy prawnej i nakazał administratorowi natychmiastowe usunięcie danych osobowych skarżących.
Bank nie zgodził się z decyzją regulatora i zaskarżył ją do WSA, wskazując jednocześnie, że w jego ocenie bank przetwarzał dane osobowe skarżących na podstawie tzw. uzasadnionego interesu administratora, polegającego na obronie przed ewentualnymi, przyszłymi roszczeniami byłych klientów. Sądy obu instancji nie podzieliły jednak interpretacji banku. Zarówno WSA, jak i NSA stwierdziły, że na podstawie przesłanki uzasadnionego interesu administratora dane można przetwarzać w celu obrony lub dochodzenia roszczeń istniejących, nie zaś tych przyszłych i niepewnych. NSA zwrócił uwagę, że skarżący nie wystąpili z żadnym roszczeniem przeciwko bankowi.
Warto zwrócić uwagę, że w ubiegłym roku również było głośno o wyroku NSA dotyczącym przetwarzania danych w celu obrony przed roszczeniami. Wówczas NSA stwierdził, że dane osób biorących udział w rekrutacji można przetwarzać (archiwizować) do momentu przedawnienia potencjalnych roszczeń związanych z dyskryminacją w procesie rekrutacji (3 lata), niezależnie od tego, czy osoba ta skierowała jakiekolwiek roszczenia względem administratora. Sprawa dotycząca banku Millenium jest oczywiście trochę inna. Administrator bowiem nie tylko archiwizował dane w celu ewentualnej obrony przed roszczeniami, ale również przetwarzał te dane w celach marketingowych. Niezależnie od tego warto jednak zwrócić uwagę na rozbieżność w orzecznictwie NSA, która może przyczynić się do mniejszej pewności stosowania prawa o ochronie danych osobowych przez administratorów.
Źródło: https://uodo.gov.pl/pl/138/3510
