GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

„Tych klientów nie obsługujemy” – czy czarne listy są dopuszczalne?

Czarna lista klientów

W ostatnich tygodniach głośna była sprawa znanego Youtubera, występującego pod pseudonimem „Książulo”, który, po nagraniu krytycznej recenzji z pobytu w jednym z Hoteli sieci Gołębiewski został wspólnie z osobami towarzyszącymi wpisany na tzw. czarną listę, czyli jak to ujął hotel „listę osób niepożądanych w obiektach Hotelu Gołębiewski”. Jak wynika z pisma, zasady miałyby obowiązywać od 7 lipca 2026 r. Zakaz ostatecznie został zdjęty, otwiera on jednak przestrzeń do refleksji na temat tego na ile zgodne z RODO są tzw. czarne listy klientów. Podnieść można bowiem cały szereg zarzutów dotyczących ich zgodności z Rozporządzeniem.

Książulo i Hotel Gołębiewski

Książulo to pseudonim znanego, polskiego Youtubera prowadzącego jeden z największych w Polsce kanałów o tematyce gastronomicznej. W ostatnich tygodniach, nagrał on nieprzychylną recenzję jednego z hoteli należących do popularnej sieci Hoteli Gołębiewski. W pokoju hotelowym miała nie działać klimatyzacja, z kolei woda miała mieć niepokojący kolor.

Jakiś czas po opublikowaniu recenzji, Youtuber próbował dokonać rezerwacji w innym hotelu sieci. Przez telefon został poinformowany, że sieć nie przyjmie jego rezerwacji w związku z naruszeniem regulaminu. Książulo trafić miał na tzw. czarną listę. Ostatecznie zakaz został zdjęty, zdążył jednak wzbudzić głośną dyskusję na temat polityki hotelu. Wzbudził również dyskusję na temat dopuszczalności praktyki prowadzenia czarnych list.

Czarne listy

Czarne listy to listy osób, których, z różnych przyczyn, przedsiębiorca decyduje się nie obsługiwać. Przez lata, możliwość tworzenia takich list była explicite ograniczana przez artykuł 138 Kodeksu Wykroczeń, ograniczający uprawnienia przedsiębiorców do odmawiania świadczenia usług. Przepis ten został jednak uznany przez Trybunał Konstytucyjny za częściowo niekonstytucyjny – niekonstytucyjny w tym właśnie zakresie, w jakim ograniczał możliwość odmowy świadczenia usług (tzw. sprawa łódzkiego drukarza). W przedmiotowej sprawie (K 16/17) Trybunał uznał, art. 138 kodeksu wykroczeń za relikt gospodarki nakazowo rozdzielczej. Trybunał wskazał, że funkcje, które przepis miał pełnić w realiach gospodarki rynkowej – w szczególności antydyskryminacyjne – nie są przezeń należycie realizowane. Przepis ten uznano za całkowicie niecelowy i nieefektywny, a stanowisko to najlepiej podsumowuje fragment samego wyroku:

Zdaniem Trybunału, art. 138 k.w. nie jest przydatny ani do ochrony interesów ekonomicznych konsumentów, ani do ochrony niematerialnych interesów konsumentów, ani wreszcie do ochrony przed działaniami antydyskryminacyjnymi.”.

Tym samym, stwierdzono, że przepis nie spełniał kryterium adekwatności ograniczenia konstytucyjnych praw i wolności.

Czarne listy pojawiają się jednak w różnych branżach. W przypadku takich przedsiębiorstw jak hotele, linie lotnicze czy bary, wpisanie na czarną listę wynikać może z niewłaściwego zachowania klienta. W przypadku internetowej sprzedaży detalicznej, może być skutkiem oszustw lub nadużywania uprawnień, np. do zwrotu. Jakkolwiek przepisy k.w. nie stoją już na przeszkodzie takiej praktyce, problem mogą stanowić inne regulacje – m.in. kodeks cywilny, ale też np. RODO.

Z drugiej jednak strony, pamiętać trzeba, że czasem tworzenie „czarnych list” znajduje podstawę prawną w szczególnych regulacjach znajdujących się w sektorowych aktach prawnych. Na przykład za taką całkowicie legalną i usankcjonowaną ustawowo  „czarną listę dłużników” trzeba traktować listy prowadzone przez Biura Informacji Gospodarczej. Powstanie katalogu „klientów niepożądanych” może być również konsekwencją stosowania regulacji przeciwdziałających praniu brudnych pieniędzy oraz finansowaniu terroryzmu (AML) lub wdrażania sankcji międzynarodowych. Dopuszczone jest również oczywiście – choć nie jest to „czarna lista” sensu stricto – prowadzenie przez instytucje finansowe oceny klientów (tzw. scoring), na podstawie, których świadczone lub nie, będą im usługi finansowe.

Tworzenie „czarnych list” poza szczególnymi, określonymi w ustawie przypadkami, jest zagadnieniem problematycznym. Nadużyciem byłoby powiedzieć, że przepisy jednoznacznie wykluczają stosowanie takich rozwiązań, z drugiej jednak strony obowiązujące regulacje bardzo ograniczają możliwość tworzenia czarnych list klientów i ustanawiają szereg wymogów, które spełnić trzeba, żeby lista utworzona była zgodnie z prawem.

Czarne listy a RODO

Z punktu widzenia RODO, prowadzenie czarnej listy jest procesem przetwarzania danych osobowych i jako taki powinien spełniać wymogi Rozporządzenia. Czarne listy są bowiem zbiorami danych (procesem), a zarówno wpis na czarną listę jak i jej późniejsze stosowanie, stanowią przetwarzanie danych osobowych (stanowisko to jest powszechnie przyjęte przez europejskie organy nadzorcze, zob. Decyzja Datu vaists inspekcija z 3 grudnia 2019 roku, No. 2-2.2/52).

Na początek zaznaczyć trzeba, że Prezes UODO wypowiadał się już na temat czarnych list w zatrudnieniu (Ochrona danych osobowych w miejscu pracy Poradnik dla pracodawców, 2018 r.). Uwagi poczynione w poradniku odnosiły się do czarnych list osób ubiegających się o zatrudnienie. Poradnik wskazywał na taką praktykę jako niedopuszczalną i choć późniejsze uwagi zgłaszane do poradnika (https://uodo.gov.pl/pl/589/3207), zwracały uwagę na odmienną sytuację wymiany danych w ramach grup kapitałowych, to co do zasady, przyjąć trzeba, że tworzenie czarnych list kandydatów do pracy jest praktyką niedozwoloną z punktu widzenia RODO. Z drugiej strony, pamiętać należy, że istnieje różnica między czarnymi listami potencjalnych pracowników, a czarnymi listami klientów, a sam poradnik wymaga zmian o czym mówiła w ostatnim wywiadzie sam Prezes UODO.

Pierwszym problemem jest identyfikacja podstawy prawnej uzasadniającej taki proces przetwarzania. Wydaje się, że prowadzeniu czarnej listy najlepiej odpowiada art. 6 ust. 1 lit. f RODO, tj. uzasadniony interes administratora. Pamiętać trzeba jednak, że stosowanie tej podstawy prawnej jest mocno obwarowane ograniczeniami. Administrator powinien rozważyć czy prawa osoby wpisywanej na listę nie są nadrzędne wobec jego interesu realizowanego przez prowadzenie czarnej listy (test równowagi). Ponadto, zwrócić trzeba uwagę, że prowadzenie takiej listy powinno odbywać się w zgodzie z zasadami wyłożonymi w art. 5 RODO. Szczególną uwagę zwrócić trzeba na zastosowanie zasady minimalizacji danych i ograniczenia przechowywania – przetwarzaniem powinny być objęte tylko dane niezbędne do realizacji celu stanowiącego uzasadniony interes i to wyłącznie w sytuacji, w której tego celu nie da się zrealizować mniej inwazyjnymi środkami. Oczywistym jest, że wpis na czarną listę powinien być uzasadniony. Wpis dokonany arbitralnie lub znajdujący oparcie w nieuzasadniającej go przyczynie (np. prowadzenie przez wpisanego działalności internetowej i tylko tyle) będzie niezgodny z RODO.

Prawa osób wpisanych na czarną listę to kolejne wyzwanie z punktu widzenia administratora.  Chodzi tu nie tylko o realizację praw uregulowanych w artykułach 15-23 RODO, ale też o kwestie związane z realizacją obowiązku informacyjnego. Nawet jeśli osoba wpisana na czarną listę odebrała klauzulę informacyjną, podając dane w innym kontekście (np. dokonując rezerwacji w hotelu), to w związku z wpisaniem jej na czarną listę dochodzi do zmiany celu, a to powinno się to wiązać z aktualizacją obowiązku informacyjnego. Osoba taka powinna zostać niezwłocznie poinformowana o wpisaniu na czarną listę (zob: https://www.cnil.fr/en/cnil-direct/question/liste-noire-doit-minformer-que-je-suis-fiche).

CNIL w sekcji porad pisze, że „ administrator musi Cię o tym (że wpisuje Cię na listę) poinformować przed dodaniem do listy i dać Ci rozsądny czas na rozwiązanie problemu lub przesłanie uwag. Następnie musi Cię oczywiście poinformować, kiedy Twoje nazwisko zostanie faktycznie dodane do czarnej listy.”

Również organ litewski odnosił się do tego zagadnienia. W sprawie VDAI z 12 września 2025 r., 3R-1241) https://thedpo.eu/en/decisions/1f555c45-a1f1-4c54-9574-06f3373ec72c

Wskazuje, że

– Powtarzanie plotki o kliencie – otrzymane od osoby trzeciej – samo w sobie nie stanowi przetwarzania danych w rozumieniu RODO, o ile nie ma miejsca żadne nagranie lub przechowywanie.

Innymi słowy do „czarnej listy” nie utrwalonej w jakiejkolwiek postaci nie stosujemy RODO.

Gdy nieformalna wymiana informacji o klientach zyska jakąkolwiek strukturę lub zostanie zarejestrowana, może kwalifikować się jako przetwarzanie, w przypadku którego wymagana jest podstawa prawna.

Pewne pytania mogą budzić również mechanizmy skutecznej realizacji praw osób. Szczególnie kontrowersyjnym okazać się może stosowanie art. 17 RODO (prawa do usunięcia danych). Osoby wpisane na listę mogą bowiem żądać usunięcia ich danych, podczas gdy administratorzy mogą wskazywać na brak spełnienia przesłanki z 17 ust. 1 lit. a (dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane). Tym celem jest odmowa świadczenia usług określonym osobom. Bardzo trudnym problemem staje się również kwestia stosowania art. 15 RODO – przedsiębiorcy często bowiem nie chcą udzielać osobom wpisanym na listę szczegółowych informacji dotyczących wpisu. Nie ulega wątpliwości, że administrator powinien spełnić takie żądanie, co więcej, nawet w sytuacji, w której nie prowadzi czarnej listy, powinien odpowiedzieć na żądanie i poinformować o tym fakcie.

Zagadnienie „czarnej listy klientów” jest złożone i wymaga starannego zaprojektowania (PbD). Należy wziąć pod uwagę wszystkie wspomniane czynniki i zdawać sobie sprawę nie tylko z ryzyk i praw wynikających z RODO, ale także z ochrony jaką daje kodeksu cywilny i przepisy chroniące konsumentów.

Autorem artykułu jest mec. Tomasz Osiej