NSA rozstrzygnie, czy po wykonaniu lub rozwiązaniu umowy firmy muszą kasować wszystkie informacje o kliencie. UODO uważa, że tak, orzecznictwo jest zaś rozbieżne.
To jeden z najistotniejszych w tej chwili sporów prawnych dotyczących RODO. Urząd Ochrony Danych Osobowych konsekwentnie uznaje, że gdy przedsiębiorcy nie wiąże już z klientem umowa, ten ostatni ma prawo żądać wykasowania wszystkich swoich danych osobowych. Nie chodzi tylko o samo imię i nazwisko czy adres dostawy. Banki przechowują historię transakcji, wypożyczalnia samochodów nie tylko dokładne godziny, ale i trasę przejazdu, sklep internetowy potwierdzenia dostaw towaru. Zgodnie z wyrażonym w wielu decyzjach stanowiskiem UODO wszystkie te dane po wykonaniu lub zerwaniu umowy powinny zostać usunięte.
- Stanowisko prezesa UODO oraz niektórych składów WSA w Warszawie prowadzi do sytuacji, w której przedsiębiorca po zrealizowaniu umowy z konsumentem musi bezwzględnie usunąć jego dane osobowe. Niweczy się w ten sposób prawo do dochodzenia ewentualnych roszczeń - komentuje dr hab. Arwid Mednis z kancelarii Kobylańska Lewoszewski Mednis, który reprezentował klientów w kilku tego rodzaju sprawach.
- W jednym z wyroków stwierdzono, że to nie stanowi problemu, bo jeśli przedsiębiorca usunie dane konsumenta, a ten ostatni zgłosi się później z jakimś roszczeniem, to przecież - jak mówi sąd - ponownie poda swoje dane i na tej podstawie przedsiębiorca będzie mógł zweryfikować zasadność roszczenia. Tylko skąd przedsiębiorca ma wiedzieć, czy to w ogóle był jego klient, skoro został zmuszony do usunięcia wszystkich jego danych? Można sobie wyobrazić fikcyjne roszczenia, których prawidłowości przedsiębiorca nie będzie w stanie zweryfikować - dodaje.
Przetwarzanie „na zapas”
Spór dotyczy interpretacji art. 6 ust. 1 lit. c i f RODO. Przepisy te pozwalają przetwarzać - bez zgody zainteresowanego - jego dane, jeśli jest to niezbędne do wypełnienia obowiązku prawnego lub do celów wynikających z jego prawnie uzasadnionych interesów (patrz: grafika). Przedsiębiorcy uważają, że także po realizacji czy zerwaniu umowy mają prawo przechowywać dane klientów na wypadek ewentualnego sporu prawnego. Zarówno gdyby to oni mieli roszczenia wobec klienta, jak i w przypadku, gdy klient miałby roszczenia wobec nich. UODO uważa to jednak za niedopuszczalne. Jego zdaniem nie można przechowywać danych „na wszelki wypadek”.
- Brak jest podstaw prawnych do przetwarzania danych w celu obrony czy też dochodzenia roszczeń, które ewentualnie mogą pojawić się w przyszłości. Nie można uznać prawnie uzasadnionego interesu w przypadku, gdy dane osobowe są przetwarzane „na zapas”, na wypadek, gdyby taki prawnie uzasadniony interes mógł pojawić się dopiero w przyszłości - argumentuje Adam Sanocki, rzecznik prasowy UODO.
Stanowisko to podzieliły niektóre składy orzekające. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 11 marca 2021 r. (sygn. akt II SA/Wa 1340/20) stwierdził, że „spółka przetwarza dane osobowe «na zapas», aby zabezpieczyć się przed ewentualnymi przyszłymi i niepewnymi roszczeniami”, co jego zdaniem jest niedopuszczalne. W orzeczeniu z 13 stycznia 2021 r. (sygn. akt II SA/Wa 607/20) podkreślił zaś, że przesłanka z art. 6 ust. 1 lit f. RODO dotyczy wyłącznie sytuacji już istniejących. Innymi słowy, jeśli przedsiębiorca jest już w sporze z klientem, to może przetwarzać jego dane. Nie wolno mu tego natomiast robić, jeśli chce się jedynie zabezpieczyć przed ewentualnymi, hipotetycznymi sporami.
Rozbieżne orzecznictwo
Okazuje się jednak, że ten sam WSA w Warszawie w innych wyrokach doszedł do całkowicie odmiennych wniosków. W jednym, do którego dotarł DGP, stwierdził, że przedsiębiorca ma prawo przetwarzać dane przynajmniej do upływu przedawnienia ewentualnych roszczeń. Sprawa dotyczyła Biura Informacji Kredytowej, któremu UODO nakazał usunięcie danych zawartych w jego wniosku kredytowym.
„Skarżący BIK zostałby zmuszony do usunięcia danych osobowych, które wciąż mogą okazać się niezbędne do realizacji prawa do obrony strony skarżącej przed sądem, w przypadku wystąpienia z roszczeniami przed terminem przedawnienia (...). To z kolei mogłoby spowodować osłabienie pozycji BIK w ewentualnym sporze sądowym. Zdaniem sądu uznać należy jednocześnie, że uzależnienie legalności podstawy do przetwarzania danych osobowych od wystąpienia z roszczeniem jest postulatem niesprawiedliwym i dającym duże możliwości nadużyć na szkodę przedsiębiorców i klientów (…)”- można przeczytać w uzasadnieniu wyroku z 29 października 2021 r. (sygn. akt II SA/Wa 506/21).
UODO wniósł skargę kasacyjną od tego rozstrzygnięcia, zatem sprawę rozstrzygnie ostatecznie Naczelny Sąd Administracyjny.
- W ocenie UODO sąd niezasadnie skupił się na interesach gospodarczych podmiotów przetwarzających dane osobowe. Ważąc interesy i podstawowe prawa i wolności osoby, której dane dotyczyły, takie jak chociażby gwarantowane prawo do prywatności, z interesem administratora, który miał dotyczyć w ocenianej przez sąd sprawie zachowania przez administratora w swych zasobach danych „na wszelki wypadek”, czyli dochodzenia lub obrony ewentualnych roszczeń, które obecnie nie istnieją, należało dojść do wniosku, że to podstawowe prawa i wolności osoby, której dane dotyczą, są nadrzędne - przekonuje Adam Sanocki.
W 2021 r. UODO wydał siedem decyzji nakazujących usunięcie danych przez BIK, z czego cztery zostały zaskarżone do WSA. Choć opisane rozstrzygnięcie dotyczy właśnie BIK i w głównej mierze opiera się na przepisach bankowych, to można je odnieść także do innych przedsiębiorstw. Jak dowiedział się DGP, w co najmniej trzech innych wyrokach WSA w Warszawie również uchylił decyzję nakazującą usunięcie danych. Wystąpiliśmy z wnioskami o udostępnienie uzasadnień tych wyroków.
Cel jest określony
Rozstrzygając opisany spór prawny, NSA będzie musiał przesądzić, czy ewentualne, niepewne roszczenia dają podstawę do dalszego przechowywania danych. Choć zarówno UODO, jak i sąd w niektórych wyrokach traktują to jak przetwarzanie „na zapas”, to zdaniem dr. Dominika Lubasza, radcy prawnego i wspólnika w kancelarii Lubasz i Wspólnicy, nie jest to właściwe podejście.
- Nie można tu mówić o zbieraniu danych „na zapas” czy „na wszelki wypadek”. Tak by było jedynie w przypadku braku określenia celu przetwarzania. A jest on jak najbardziej określony. Jeśli tak, to powiązanie zasady ograniczenia przechowywania i ograniczenia celu wskazuje, że cel ten wyznacza ramy przechowywania. Zatem z perspektywy tych zasad korelacja z długością terminu przedawnienia wydaje się oczywista - przekonuje prawnik.
- Paradoksalnie, choć nie wprost, zależność tę dostrzega również prezes UODO w poradniku dotyczącym zatrudnienia, odpowiadając na str. 40 na pytanie o długość przechowywania danych o współpracownikach na umowach cywilnoprawnych. Wśród czynników, które administrator powinien brać pod uwagę, wskazuje właśnie okres przedawnienia - dodaje.
Przy tym podejściu przedsiębiorca mógłby przechowywać dane klientów bez ich zgody, ale wyłącznie na wypadek ewentualnych roszczeń. Oznaczałoby to, że nie może ich wykorzystać do żadnych innych celów (np. marketingowych).
- Niezbędna jest tu oczywiście ocena całokształtu okoliczności związanych z przetwarzaniem danych, m.in. relacji łączących administratora z podmiotem danych, charakter roszczeń lub źródła odpowiedzialności. Elementy te będą stanowiły składniki podlegające weryfikacji w trakcie przeprowadzania trzystopniowego testu równowagi. Weryfikacji podlega istnienie zgodnego z prawem interesu administratora, a obrona przed roszczeniami - w mojej ocenie nieważne, czy już zgłoszonymi, czy jedynie potencjalnymi - takim interesem jak najbardziej może być - uważa dr Dominik Lubasz.
