Potencjalne roszczenia jako czynnik wpływający na retencję danych osobowych

Powszechnie stosowaną praktyką przy ustalaniu przez administratorów okresów retencji danych osobowych jest powoływanie się przez nich na okresy wynikające z przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Jako podstawa prawna przetwarzania danych osobowych w takim przypadku powoływany jest art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes administratora, którym jest ustalenie, dochodzenie lub obrona roszczeń.

A co na to organ nadzorczy?

W wydanych decyzjach administracyjnych Prezes Urzędu Ochrony Danych Osobowych w sytuacji powoływania się przez administratorów na wyżej wymienioną przesłankę przetwarzania danych osobowych i braku innej podstawy prawnej do ich przetwarzania, nakazał administratorom usunięcie danych osobowych przetwarzanych w celu ustalenia, dochodzenia lub obrony roszczeń. Zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, potwierdzonym przez Wojewódzki Sąd Administracyjny w Warszawie m.in. w wyroku z dnia z 13 stycznia 2021 r. (sygn. akt II SA/Wa 607/20) oraz wyroku z dnia 11 marca 2021 r. (sygn. akt II SA/Wa 1340/20), przesłanka z art. 6 ust. 1 lit. f RODO powinna dotyczyć sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, a nie sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym i niepewnym roszczeniem.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
W ocenie Prezesa UODO, niedopuszczalne jest przetwarzanie danych osobowych "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych.

Ponadto w powołanych powyżej wyrokach Wojewódzki Sąd Administracyjny uznał, że niezasadne jest powoływanie się przez administratorów na konieczność posiadania danych osobowych na potrzeby ewentualnego sporu sądowego, ponieważ w przypadku jego zaistnienia dane osobowe i tak zostaną podane przez osobę inicjującą postępowanie, w wyniku czego administrator jako pozwany będzie miał do nich dostęp.

Podstawy prawne odnoszące się do retencji danych osobowych

Stosownie do art. 17 ust. 1 RODO osoba, której dane dotyczą, może żądać usunięcia swoich danych osobowych, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Prawo do bycia zapomnianym nie znajduje jednak zastosowania w przypadkach, w których przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Powyższe stanowi konsekwencję zasady ograniczenia przetwarzania danych osobowych, uregulowaną w art. 5 ust. 1 lit e RODO. Zgodnie z ww. zasadą, dane osobowe mogą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane.

Zasada ta ma stanowić zabezpieczenie osoby, której dane dotyczą, przed przetwarzaniem jej danych osobowych przez nieograniczony okres. Wobec powyższego obowiązkiem każdego administratora jest wyznaczenie niezbędnego okresu (okresu retencji danych osobowych), w jakim będzie przetwarzał zgromadzone przez siebie dane osobowe. Oczywiście w niektórych przypadkach okres ten został wprost przewidziany przez obowiązujące przepisy prawne jak np. w przypadku okresu przechowywania akt pracowniczych czy dokumentacji medycznej.

Natomiast w pozostałych sytuacjach to administratorzy mają obowiązek samodzielnie wyznaczyć przez jaki czas będą przechowywali zgromadzone przez siebie dane osobowe. Dlatego też, przy wyznaczaniu okresu retencji danych, administratorzy powołują się na terminy przedawnienia roszczeń cywilnoprawnych, opierając takie działanie na przesłance legalizującej przetwarzanie danych osobowych określonej w art. 6 ust. 1 lit. f RODO.

Czy rzeczywiście dochodzi do przetwarzania danych osobowych „na zapas”?

Odpowiadając na to pytanie, należy mieć przede wszystkim na uwadze to, że administratorzy nie są w stanie przewidzieć, kiedy i jakich roszczeń będą dochodziły osoby, których dane dotyczą. Ograniczenie uzasadnionego interesu realizowanego przez administratora tylko do roszczeń aktualnie dochodzonych w chwili wykonywania prawa do bycia zapomnianym, stawia go w pozycji mniej korzystnej niż podmiot praw, wykonujący to prawo. Osoba, której dane dotyczą może bowiem doprowadzić w ten sposób do trwałego usunięcia swoich danych osobowych, a następnie wystąpić z roszczeniem, co do którego administrator danych nie dysponuje już żadnymi środkami dowodowymi, z uwagi na usunięcie wszelkich danych.

Powyższe prowadzi do sytuacji, w której administratorzy są pozbawieni realnej możliwości obrony przed roszczeniami (zarówno na etapie sądowym, jak i pozasądowym), a tym samym do zachwiania równowagi pomiędzy prawem osób do dysponowania swoimi prawami a uzasadnionym interesem administratora. Podkreślenia wymaga, że obowiązek usunięcia danych osobowych, wiąże się z koniecznością usunięcia m.in. historii dokonywanych przez klienta transakcji oraz wszelkiej prowadzonej korespondencji, co pozbawia administratora posiadania jakichkolwiek środków dowodowych.

Funkcja IOD - to się dobrze przekazuje

Powyższe ma ogromne znaczenie chociażby przy roszczeniach wynikających z art. 82 RODO, stosownie do którego to administrator, w przypadku ewentualnego postępowania, jest zobowiązany udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody (art. 82 ust. 3 RODO).

Sam dostęp do danych osobowych w wyniku wystąpienia osoby, której dane dotyczą z roszczeniem, nie będzie wystraczający, ponieważ administrator nie będzie dysponował innymi informacjami, które pozwoliłyby mu odeprzeć stawiane mu zarzuty.

Przedawnienie roszczeń a dane osobowe

Należy pamiętać, że roszczenia mogą być dochodzone w terminach przewidzianych przez przepisy Kodeksu cywilnego. Instytucja przedawnienia roszczeń została oparta na założeniu, że wierzyciel (czyli osoba, której przysługuje roszczenie względem dłużnika) może wykorzystać swoje uprawnienie przeciwko dłużnikowi w określonym terminie, a po jego upływie dłużnik – w zależności od swojego wyboru – może uchylić się od zaspokojenia roszczenia wierzyciela. Termin przedawnienia to termin na dochodzenie roszczenia, bez konieczności liczenia się z uchyleniem się przez dłużnika od jego zaspokojenia.

W związku z powyższym, skoro ustawodawca przewidział termin, w którym mogą być dochodzone roszczenia, należy przyjąć, że termin ten również uzasadnia przechowywanie danych osobowych do tego celu. Tym bardziej, że w polskim ustawodawstwie nie występuje instytucja „zapowiedzi z wystąpieniem roszczenia”. W powyższym przypadku, nie będzie dochodziło zatem do przetwarzania danych osobowych przez nieograniczony okres, ponieważ właśnie okres ten został wyznaczony przez przepisy dotyczące terminów przedawnienia roszczeń, co również przyczynia się do realizacji zasady ograniczonego przetwarzania danych osobowych. Praktyka powoływania się przez administratorów na przechowywanie danych przez okres wynikający z terminów przedawnienia roszczeń gwarantuje jednolite podejście, zapobiegając tym samym stosowaniu różnych okresów retencji danych w analogicznych sytuacjach i przetwarzaniu danych przez dłuższy okres.

Bezpłatna wiedza o RODO.
Korzystaj do woli!

Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.
WCHODZĘ W TO
Ponadto, mogą mieć miejsce sytuacje, w których z różnych względów administrator nie będzie dochodził przysługującego mu roszczenia bezpośrednio po zakończeniu stosunku zobowiązaniowego z osobą, której dane dotyczą. Zgodnie z przepisami Kodeksu cywilnego dotyczącymi terminów przedawnienia, roszczenia mogą być skutecznie dochodzone przez okres wskazany w tych przepisach.

Brak możliwości przetwarzania danych osobowych po zakończeniu stosunku zobowiązaniowego (z uwagi na konieczność usunięcia danych osobowych) na podstawie prawnie uzasadnionego interesu administratora, pozbawia administratora możliwości realizacji przysługujących mu praw.

Podejście innych państw

Jako przykład takiego podejścia może posłużyć Bułgaria, której sądy administracyjne stwierdziły, że administrator może oprzeć przetwarzanie danych osobowych szczególnych kategorii na podstawie prawnie uzasadnionego interesu administratora, którym jest ustalenie, dochodzenie lub obrona roszczeń (art. 9 ust. 1 lit. f RODO) w celu zabezpieczenia się przed roszczeniem mogącym wystąpić w przyszłości, a nie wyłącznie przed roszczeniem już istniejącym.

Co więcej, zaprezentowane stanowisko wskazuje, że podstawę prawną do przetwarzania danych osobowych w celu ustalenia, ochrony i dochodzenia roszczeń należy uznać za nadrzędną wobec interesów i praw osoby, której dane dotyczą i związku z tym, administrator nie musi przeprowadzać testu równowagi (ang. balancing test) polegającego na wykazaniu równowagi między interesami administratora a interesami, prawami i swobodami podmiotu danych, czyli osoby, której przetwarzane dane dotyczą.

Podsumowanie

Rozważając kwestie przetwarzania danych osobowych przez okres wynikający z przepisów dotyczących przedawnienia roszczeń cywilnoprawnych, należy pamiętać, że prawo do ochrony danych osobowych powinno być postrzegane w kontekście jego funkcji społecznej i zestawione z innymi prawami podstawowymi w myśl zasady proporcjonalności. Prawo do ochrony danych osobowych nie powinno ograniczać prawa administratorów do realnego dochodzenia lub obrony przed roszczeniami. Tym bardziej, że administrator przed dokonaniem przetwarzania na podstawie art. 6 ust. 1 lit. f RODO powinien przeprowadzić test równowagi, który wskazuje jak przewarzanie wpływa na wolności i prawa osób, których dane dotyczą i dopiero w oparciu o przeprowadzony test decyduje o oparciu przetwarzania na tej podstawie.

W związku z powyższym, przetwarzanie danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń na podstawie art. 6 ust. 1 lit. f RODO należy uznać za uzasadnione, oczywiście przy założeniu, że przetwarzanie będzie ograniczone wyłącznie do przechowywania i takie dane nie będą wykorzystywane do innych celów.

Czytaj także:

Szkolenie RODO od podstaw

Szkolenie dla osób, które zaczynają swoją „przygodę” z RODO i z funkcją inspektora ochrony danych.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".