Oznacza to, że spór o interpretację art. 105a ust. 3 prawa bankowego został zakończony – czytamy w komunikacie UODO.

Ów spór dotyczył realizacji prawa do przetwarzania danych stanowiących tajemnicę bankową osób zalegających ze zobowiązaniami wobec banku - po wygaśnięciu zobowiązania wynikającego z umowy i bez zgody tych osób. Instytucje finansowe mają prawo przetwarzać takie dane przez pięć lat od dnia wygaśnięcia zobowiązania. Po zaistnieniu zwłoki bank musi jednak poinformować daną osobę, że zamierza przetwarzać jego dane bez jego zgody, oraz poinformować o celu przetwarzania. Od tego momentu były klient banku może spłacić zaległość w ciągu 30 dni, a wówczas bank nie będzie mógł przetwarzać jego danych objętych tajemnicą bankową.

Bank musi udowodnić, że spełnił obowiązek

Prezes UODO dowodził, że obowiązek wykazania, że minęło już 30 dni, leży po stronie banku. To bank musi więc udowodnić, że poinformował klienta skutecznie o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, bez jego zgody, po wygaśnięciu zobowiązania wynikającego z umowy.

- Bank musi więc być w stanie ustalić datę, w której doszło do poinformowania osoby, której dane dotyczą, o zamiarze przetwarzania jej danych osobowych po wygaśnięciu zobowiązania, bez jej zgody, nie zaś datę, w której hipotetycznie osoba ta mogła zapoznać się z powyższą informacją – tłumaczy UODO.

Prezes UODO podkreśla tu niezbędność ustalenia daty. Przykładowo, nie wystarczy, że klient spóźnił się z wykonaniem zobowiązania przez co najmniej 60 dni. Musi minąć jeszcze 30 dni. Termin ten nie biegnie automatycznie (ex lege), lecz dopiero od momentu, w którym konsument zostanie skutecznie poinformowany o zamiarze przetwarzania jego danych.

- Zgadzając się z argumentami prezesa UODO, NSA podkreślił, że choć prawodawca nie zdefiniował użytego w art. 105a ust. 3 ustawy Prawo bankowe pojęcia „poinformować” ani nie stworzył w tym zakresie żadnych szczególnych wymogów formalnych, to nie ma tu mowy o całkowitej dowolności – czytamy w komunikacie UODO.

Przede wszystkim ustawa stanowi o „poinformowaniu” (forma dokonana), a nie „informowaniu”. A to oznacza, że prawo do przetwarzania danych bez zgody ma nastąpić po upływie „30 dni od poinformowania tej osoby przez bank”, a nie od np. wysłania jej informacji. „Poinformowanie” może nastąpić np. osobiście w placówce, przez przesyłkę doręczaną listownie lub przez pracownika banku albo innego uprawnionego podmiotu. Pod pewnymi warunkami nie można również wykluczyć możliwości skierowania takiej informacji drogą elektroniczną.

Prezes UODO podaje, że NSA w 11 sprawach podzielił jego stanowisko - uchylił pięć wyroków wojewódzkiego sądu administracyjnego i podtrzymał sześć wyroków WSA.

Czytaj także: UODO chce, by zgłaszać mu incydenty. Nawet gdy ryzyko jest niewielkie

Lista spraw

Stanowisko to NSA zaprezentował w sprawach:

  1. III OSK 1428/24, sygnatura decyzji PUODO DS.523.3941.2021
  2. III OSK 1763/24, sygnatura decyzji PUODO DS.523.1980.2022
  3. III OSK 3059/23, sygnatura decyzji PUODO DS.523.2319.2021
  4. III OSK 7477/21, sygnatura decyzji PUODO ZSPR.440.1590.2019
  5. III OSK 2833/22, sygnatura decyzji PUODO DS.523.6082.2020
  6. III OSK 1575/22, sygnatura decyzji PUODO DS.523.3589.2020
  7. III OSK 191/23, sygnatura decyzji PUODO DS.523.5493.2020
  8. III OSK 251/23, sygnatura decyzji PUODO DS.523.445.2021
  9. III OSK 2672/23, sygnatura decyzji PUODO DS.523.945.2022
  10. III OSK 2300/23, sygnatura decyzji PUODO DS.523.6935.2021
  11. III OSK 2714/23, sygnatura decyzji PUODO DS.523.4046.2022