NSA uznał za słuszne argumenty prezesa UODO, który nakazał usunąć dane byłego klienta Santander Consumer Bank. NSA orzekł, że administrator nie może powoływać się na uzasadniony interes (art. 6 ust. 1 lit. f rozporządzenia RODO) i przetwarzać danych osoby, z którą nie łączy go już umowa. W sprawie tej bank sprzedał wierzytelność klienta innemu podmiotowi, a podstawę przetwarzania jego danych widział w uzasadnionym interesie związanym z ewentualnymi roszczeniami, np. klienta wobec banku (wyrok z 10 lipca 2025 r., III OSK 1594/22).

Zdaniem NSA, prezes UODO prawidłowo uznał, że bank nie wskazał istnienia roszczeń, których zaspokojenia się domaga , jak również nie wykazał, aby zaspokojenia roszczeń domagał się od banku nabywca wierzytelności lub skarżący. Ewentualne i niepewne roszczenia, które hipotetycznie mogłyby pojawić się w przyszłości, nie są wystarczającą przesłanką uzasadniającą przetwarzanie takich danych. A skoro nie istnieje cel, który uzasadniałby przetwarzanie danych osobowych byłego klienta, to należy je usunąć.

Druga wygrana UODO (III OSK 165/22) dotyczy przetwarzania przez ING Bank Śląski i BIK danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy. NSA uchylił wyrok I instancji uznając, że organ nadzorczy słusznie nakazał usunięcie danych niedoszłego klienta banku.

NSA podkreślił, że BIK i bank są zobowiązane do zaprzestania przetwarzania danych osobowych dotyczących zapytań kredytowych, które nie zakończyły się zawarciem umowy o kredyt. Odpada wówczas cel przetwarzania, jakim jest badanie zdolności kredytowej. Powoływanie się na art. 105a prawa bankowego – czyli regulującego zasady przetwarzania danych osobowych objętych tajemnicą bankową - jest więc niewłaściwe.

To dwie kolejne w kilku w ostatnim czasie spraw w NSA na styku danych osobowych i prawa bankowego.