NSA potwierdza: Bank nie może bez podstawy przetwarzać danych byłych klientów którzy zalegają z płatnością

Naczelny Sąd Administracyjny (NSA) podzielił opinię Prezesa Urzędu Ochrony Danych Osobowych (UODO): po wygaśnięciu umowy kredytowej bank może nadal przetwarzać dane klienta, który zalega ze spłatą, ale wyłącznie po spełnieniu dodatkowych warunków.

Tajemnica bankowa vs. interes wierzyciela – kiedy dane dłużnika mogą trafić do BIK bez jego zgody?

Zakończony spór dotyczył uprawnienia banku do przetwarzania danych objętych tajemnicą bankową, odnoszących się do osób, które nie uregulowały swoich zobowiązań po wygaśnięciu umowy.

W szczególności przedmiotem sporu było czy i na jakich zasadach bank lub inna instytucja finansowa może – bez uzyskania uprzedniej zgody klienta – przekazywać jego dane do Biura Informacji Kredytowej (BIK) lub innych rejestrów dłużników. Sporna była kwestia czy przetwarzanie takich danych po ustaniu stosunku umownego nie narusza prawa do prywatności oraz obowiązku zachowania tajemnicy bankowej.

Czy bank może zgłosić Cię do rejestru dłużników bez Twojej wiedzy?

W przypadku opóźnienia w spłacie bank ma obowiązek poinformować daną osobę o zamiarze przetwarzania jej danych osobowych bez konieczności uzyskiwania zgody oraz jasno określić cel, w jakim te dane mają być wykorzystywane. Taka informacja musi być przekazana w sposób skuteczny, czyli w formie umożliwiającej zapoznanie się z jej treścią.

Od momentu doręczenia powiadomienia rozpoczyna się 30-dniowy okres, w którym klient ma możliwość spłaty zaległego zobowiązania. Jeżeli ureguluje on zaległości w tym czasie, bank traci prawo do dalszego przetwarzania jego danych objętych tajemnicą bankową, co oznacza, że nie mogą one trafić do rejestrów takich jak BIK bez jego wyraźnej zgody.

Prezes UODO: To bank musi udowodnić, że skutecznie poinformował klienta przed przetwarzaniem jego danych po wygaśnięciu zobowiązania

W sporze z bankami Prezes UODO argumentował, że to na banku spoczywa obowiązek udowodnienia, iż upłynęło wymagane 30 dni od momentu poinformowania klienta o zamiarze przetwarzania jego danych bez zgody. W ocenie Prezesa UODO, to instytucja finansowa musi wykazać, że skutecznie przekazała byłemu klientowi informację o planowanym przetwarzaniu danych objętych tajemnicą bankową po wygaśnięciu zobowiązania.

Opóźnienie w spłacie zobowiązania przekraczające 60 dni nie daje bankowi automatycznego prawa do przetwarzania danych klienta na zasadach określonych w art. 105a ust. 3 Prawa bankowego.

Zanim będzie to możliwe, bank musi skutecznie poinformować klienta o zamiarze przetwarzania jego danych osobowych bez zgody.

Dopiero od momentu doręczenia takiej informacji zaczyna się liczyć dodatkowy 30-dniowy okres, który zależy od rzeczywistego poinformowania klienta, a nie od domniemania, że mógł zapoznać się z pismem. Prezes UODO podkreśla, że kluczowe jest ustalenie konkretnej daty doręczenia tej informacji. W trakcie tych 30 dni klient może uregulować zaległość, co uniemożliwi bankowi dalsze przetwarzanie jego danych, w tym zgłaszanie ich do baz dłużników.

Jak wygląda prawidłowe poinformowanie klienta według NSA?

NSA, podzielając stanowisko Prezesa UODO, zaznaczył, że choć przepisy art. 105a ust. 3 Prawa bankowego nie precyzują definicji pojęcia „poinformować” ani nie określają szczególnych wymogów formalnych w tym zakresie, to nie oznacza to pełnej dowolności w interpretacji tych przepisów.

W ocenie NSA, przepisy mówią o „poinformowaniu” (czynność zakończona), a nie o samym procesie informowania. Może ono nastąpić osobiście, listownie, przez pracownika banku lub drogą elektroniczną, jeśli zostało to przewidziane w umowie.

Kluczowe jest, aby bank potrafił wskazać datę, kiedy faktycznie doręczył klientowi stosowną informację, a nie jedynie datę wysłania korespondencji. Dopiero wtedy zaczyna biec 30-dniowy okres, po upływie którego bank może przetwarzać dane klienta, jeżeli ten nie ureguluje zaległości.

NSA potwierdził stanowisko aż w 11 wyrokach

Jednolita linia orzecznicza została potwierdzona w 11 wyrokach NSA, co daje instytucjom finansowym oraz klientom jasne wytyczne w zakresie przetwarzania danych po zakończeniu umowy kredytowej.

Jeśli podejrzewasz, że twoje dane osobowe mogły zostać naruszone, skontaktuj się z naszymi prawnikami specjalizującymi się w ochronie danych osobowych.