W niedawnym orzeczeniu Naczelnego Sądu Administracyjnego (NSA) w Warszawie, potwierdzono stanowisko Prezesa Urzędu Ochrony Danych Osobowych (UODO) dotyczące nieuprawnionego przetwarzania danych osobowych przez Bank Millennium. Sąd oddalił skargę kasacyjną banku, która kwestionowała wcześniejszy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA).
Sprawa dotyczyła zarzutu przetwarzania danych osobowych byłych klientów banku, po tym jak ci wycofali swoje zgody na przetwarzanie danych w celach marketingowych. Bank Millennium argumentował, że dane te są przetwarzane w celu obrony przed ewentualnymi przyszłymi roszczeniami, co miałoby stanowić „prawnie uzasadniony interes” zgodnie z art. 6 ust. 1 lit. f ogólnego rozporządzenia o ochronie danych (RODO).
Jednak Prezes UODO i obie instancje sądowe uznały, że bank nie wykazał istnienia konkretnego sporu ani aktualnej konieczności przetwarzania danych w kontekście ewentualnych roszczeń. W świetle RODO, przetwarzanie danych w celu zabezpieczenia się przed hipotetycznymi przyszłymi roszczeniami nie może być uznane za dostateczne uzasadnienie.
NSA wskazał, że zgodnie z zasadą rozliczalności, ciężar dowodowy dotyczący legalności przetwarzania danych spoczywa na administratorze danych – w tym przypadku na banku. Sąd podkreślił, że bank powinien być w stanie przedstawić konkretne dowody na to, że przestrzega zasad przetwarzania danych, zwłaszcza gdy dochodzi do sporu z osobą, której dane dotyczą, lub z organem nadzorczym.
Ostatecznie, argumentacja banku o potrzebie przetwarzania danych „na zapas” nie znalazła uzasadnienia w praktyce prawnej, co stanowi ważny precedens dla innych instytucji finansowych oraz podkreśla wagę ścisłego przestrzegania zasad RODO. Decyzja ta rzuca światło na konieczność przemyślanego i odpowiedzialnego zarządzania danymi osobowymi przez podmioty gospodarcze, które muszą równoważyć swoje interesy operacyjne z prawnymi wymogami ochrony danych osobowych.