Prawnie uzasadniony interes administratora a wewnętrzne cele administracyjne

Zgodnie z art. 6 ust. 1 RODO przetwarzanie danych osobowych może odbywać się na kilku podstawach. Oprócz zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), są to:

1. wykonanie umowy, której stroną jest osoba, której dane dotyczą, lub podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO);
2. wypełnienie obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO);
3. ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 6 ust. 1 lit. d RODO);
4. wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO);
5. prawnie uzasadnione interesy administratora lub strony trzeciej (art. 6 ust. 1 lit. f RODO).

Nie istnieje hierarchia podstaw prawnych przetwarzania danych osobowych. Zawsze jednak obowiązek wyboru odpowiedniej podstawy przetwarzania danych osobowych oraz właściwego rodzaju operacji, jakie będą na nich wykonywane, spoczywa na administratorze. Pamiętaj, że prawnie uzasadniony interes może być wzięty pod uwagę jedynie wówczas, gdy nie ma możliwości użycia innej podstawy prawnej, lub wtedy, gdy możliwe są inne podstawy, jednak to on jest najbardziej odpowiedni ze względu na kontekst i cel przetwarzania. Istotne jest również to, że uzasadniony interes musi być realizowany w sposób zgodny z wymogami przepisów prawa, w tym z przepisami dotyczącymi ochrony danych osobowych.

Wewnętrzne cele administracyjne

Zgodnie z motywem 48 RODO administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy m.in. przetwarzania danych osobowych klientów lub pracowników. Jeśli chodzi o ograniczenia, to będą nimi sytuacje, w których nadrzędny charakter wobec prawnie uzasadnionego interesu administratora mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 31 marca 2022 r., sygn. akt II SA/Wa 3561/21. Informacje ogólne

W dalszej części artykułu skupimy się na orzeczeniu Wojewódzkiego Sądu Administracyjnego w Warszawie (dalej jako: „Sąd”) z dnia 31 marca 2022 r., sygn. akt II SA/Wa 3561/21. W orzeczeniu tym Sąd rozstrzygnął skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: „Prezes UODO”). Została ona wydana w sprawie przetwarzania danych osobowych, a dotyczyła pozyskiwania danych osobowych od innej spółki z grupy podmiotów administratora po to, aby udzielić odpowiedzi na żądanie Prezesa UODO. Orzeczenie zawiera stanowisko Sądu w takich kwestiach, jak pojęcie prawnie uzasadnionego interesu i jego wykładnia, możliwość pozyskiwania danych osobowych od innego administratora oraz możliwość przetwarzania danych osobowych w celu obrony przed roszczeniami, które jeszcze nie istnieją.

Stan faktyczny. Stanowisko UODO

G. Spółka z o.o. (dalej jako: „Spółka”) złożyła skargę na decyzję Prezesa UODO z sierpnia 2021 r., która została wydana w wyniku wpłynięcia skargi M.B. (dalej również jako: „Skarżący”) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę. Skarżący podniósł, że dwukrotnie żądał od Spółki zaprzestania przetwarzania jego danych, ale w obu przypadkach żądanie nie zostało spełnione. Wskazał także, że został poproszony przez Spółkę o wykorzystanie portalu innej firmy – o innej nazwie i z innym adresem internetowym.

W postępowaniu administracyjnym przeprowadzonym przez Prezesa UODO ustalono, że Spółka obecnie przetwarza dane osobowe M.B. tylko i wyłącznie w celu udzielenia odpowiedzi na korespondencję w ramach toczącego się postępowania przed Prezesem UODO. Z zebranego w sprawie materiału dowodowego wynikało, że Spółka po otrzymaniu od Prezesa UODO wezwania do złożenia wyjaśnień i ustosunkowania się do treści wniesionej skargi skontaktowała się z G. (tj. swoją stowarzyszoną jednostką centralną) i otrzymała jednorazowy dostęp do danych Skarżącego. W przesłanych do Prezesa UODO wyjaśnieniach Spółka wskazała, że podstawą prawną uzyskania danych osobowych Skarżącego od podmiotu trzeciego jest art. 6 ust. 1 lit. f RODO, tj. uzasadniony interes administratora danych / strony trzeciej, którym jest aktywne uczestnictwo w postępowaniu wszczętym przez organ nadzoru, w tym obrona przed roszczeniami Skarżącego. Ponadto Spółka wyjaśniła, że pozyskane dane służą wyłącznie do udzielania odpowiedzi na korespondencję w ramach toczącego się postępowania przed Prezesem UODO oraz że udostępnienie danych Skarżącego nie było objęte umową łączącą Spółkę i G., która regulowałaby tego typu kwestię.

Zdaniem Prezesa UODO prawnie uzasadniony interes to interes wynikający (choćby pośrednio) z przepisów prawa, w sytuacji gdy nie regulują one dopuszczalności przetwarzania danych, a jedynie wskazują jakiś interes (np. uprawnienie), do którego realizacji przetwarzanie danych jest potrzebne. Uzasadniony interes może mieć administrator lub strona trzecia. Prezes UODO wskazał, że Spółka nieprawidłowo powołała się na art. 6 ust. 1 lit. f RODO jako podstawę prawną pozyskania danych osobowych skarżącego od G. W praktyce oznacza to, że Spółka pozyskała od G. dane osobowe Skarżącego bez podstawy prawnej i przetwarza je bez takiej podstawy.

Spółka złożyła skargę na decyzję Prezesa UODO, zarzucając m.in. naruszenie art. 58 ust. 2 lit. b oraz g RODO w związku z art. 5 ust. 1 lit. a RODO, art. 6 ust. 1 RODO oraz art. 17 RODO w związku z art. 118 i 119 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (t.j. Dz. U. z 2022 r. poz. 1360.). Naruszenie miało polegać na niewłaściwym zastosowaniu tych przepisów i niesłusznym – według Spółki – przyjęciu, że przetwarzanie danych do celów aktywnego uczestnictwa w postępowaniu wszczętym przez Prezesa UODO, w tym do celów obrony przed roszczeniami M.B., nie stanowi prawnie uzasadnionego interesu w rozumieniu art. 6 ust. 1 lit. f RODO. W konsekwencji Spółka nie zgodziła się ze stwierdzeniem, że dopuściła się ona naruszenia przepisów RODO. Podniosła także, że nie przetwarzała danych osobowych podmiotu danych przed ich otrzymaniem od organu nadzorczego, czyli UODO. Ponadto podkreśliła, że nie przetwarza danych osobowych podmiotu danych do celów innych niż udzielenie wyjaśnień w postępowaniu prowadzonym przez organ oraz obrona przed roszczeniami podmiotu danych.

Rozstrzygnięcie Sądu

Po rozpoznaniu skargi Sąd orzekł o jej uwzględnieniu. W uzasadnieniu swojej decyzji powołał się na wspomniany już art. 6 ust. 1 lit. f RODO. Sąd przywołał pogląd doktryny, zgodnie z którym przesłanka legalizująca przetwarzanie danych osobowych zawarta w tym przepisie przyjmuje charakter swego rodzaju klauzuli generalnej, zwiększającej elastyczność katalogu zawartego w art. 6 ust. 1 RODO, a samo stosowanie przywołanej regulacji następuje dwuetapowo.

Powyższe oznacza, że oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO wymaga łącznego spełnienia dwóch przesłanek, a mianowicie:

1. musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią, a ponadto
2. musi być przeprowadzona weryfikacja, czy przetwarzanie danych osobowych jest niezbędne do realizacji celu wynikającego z powyższego interesu.

Następnie należy ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym, czyli czy w danym stanie faktycznym nie występują interesy lub podstawowe prawa i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. Sąd podkreślił, że w przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f RODO jako uzasadnienie przetwarzania danych osobowych. Stosowanie tej negatywnej przesłanki polega w istocie na wyważeniu dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej oraz interesów, podstawowych praw i wolności podmiotu danych.

Odnośnie do prawnie uzasadnionego interesu Sąd wskazał, że trzeba rozumieć go nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem. W ocenie Sądu owa zgodność z prawem stanowi ograniczenie pojęcia interesu administratora lub strony trzeciej jako potencjalnej podstawy do przetwarzania danych osobowych. Podkreślenia wymaga, że może to być interes nie tylko administratora, który przetwarza już dane osobowe, lecz także administratora, któremu dane te mogą dopiero zostać ujawnione.

Zdaniem Sądu nie można było uznać, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczyła sytuacji wyłącznie już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia istniejącego roszczenia, potrzeba jego dochodzenia lub obrony przed takim roszczeniem. Wskazana podstawa obejmuje bowiem również sytuacje, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnymi roszczeniami mogącymi powstać w przyszłości.

Natomiast jeśli chodzi o sam sposób pozyskania danych, Sąd podkreślił, że Spółka pozyskała dane Skarżącego, wykonując zobowiązanie Prezesa UODO. Jak wynikało ze stanu faktycznego sprawy, Spółka otrzymała jedynie incydentalny dostęp do danych Skarżącego przetwarzanych w serwisie, polegający na uzyskaniu informacji dotyczących założenia przez niego konta, zaprezentowanych w postaci zrzutów ekranów zawierających te dane, przedłożonych do organu nadzorczego w ramach toczącego się postępowania.

Szukasz wsparcia w zakresie RODO? A może chcesz przeszkolić swój zespół Marcin Kuźniak, nasz doradca ds. ochrony danych, wskaże Ci najlepsze formaty i odpowiednie szkolenia dla Twojej organizacji. Skontaktuj się z nim i działaj zgodnie z RODO w swojej branży.

Spółka wskazała, że nie uzyskała dostępu do systemu informatycznego G., w tym do elektronicznego konta M.B. Nie ma ona również stałego, infrastrukturalnego dostępu do danych użytkowników serwisu. Aby uzyskać takie dane, musi o nie poprosić G., lecz celem Spółki przy nawiązaniu kontaktu z G. i pozyskaniu od niego danych osobowych M.B. było udzielenie organowi precyzyjnych i wyczerpujących wyjaśnień dotyczących okoliczności faktycznych sprawy, a także obrona przed roszczeniami podmiotu danych.

Podsumowanie

Zdaniem Sądu w powyżej przedstawionych okolicznościach faktycznych sprawy nie można było skutecznie zarzucać Spółce naruszenia art. 6 ust. 1 lit. f RODO. Ponadto Sąd nadmienił, że zgodnie z motywem 48 RODO administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Zapis ten nie odnosi się przy tym do kategorii danych, a kładzie nacisk na wskazanie celów przetwarzania, tj. wewnętrznych celów administracyjnych. Z tego względu pozyskanie danych przez Spółkę – na wyraźne żądanie Prezesa UODO – należało uznać za działanie mieszczące się w dyspozycji art. 6 ust. 1 lit. f RODO.