Spis treści
A co na to organ nadzorczy?
W wydanych decyzjach administracyjnych Prezes Urzędu Ochrony Danych Osobowych w sytuacji powoływania się przez administratorów na wyżej wymienioną przesłankę przetwarzania danych osobowych i braku innej podstawy prawnej do ich przetwarzania, nakazał administratorom usunięcie danych osobowych przetwarzanych w celu ustalenia, dochodzenia lub obrony roszczeń.
Zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych, potwierdzonym przez Wojewódzki Sąd Administracyjny w Warszawie m.in. w wyroku z dnia z 13 stycznia 2021 r. (sygn. akt II SA/Wa 607/20) oraz wyroku z dnia 11 marca 2021 r. (sygn. akt II SA/Wa 1340/20), przesłanka z art. 6 ust. 1 lit. f RODO powinna dotyczyć sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, a nie sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym i niepewnym roszczeniem.
W ocenie Prezesa UODO, niedopuszczalne jest przetwarzanie danych osobowych "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych.
Ponadto w powołanych powyżej wyrokach Wojewódzki Sąd Administracyjny uznał, że niezasadne jest powoływanie się przez administratorów na konieczność posiadania danych osobowych na potrzeby ewentualnego sporu sądowego, ponieważ w przypadku jego zaistnienia dane osobowe i tak zostaną podane przez osobę inicjującą postępowanie, w wyniku czego administrator jako pozwany będzie miał do nich dostęp.
Podstawy prawne odnoszące się do retencji danych osobowych
Stosownie do art. 17 ust. 1 RODO osoba, której dane dotyczą, może żądać usunięcia swoich danych osobowych, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Prawo do bycia zapomnianym nie znajduje jednak zastosowania w przypadkach, w których przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Powyższe stanowi konsekwencję zasady ograniczenia przetwarzania danych osobowych, uregulowaną w art. 5 ust. 1 lit e RODO. Zgodnie z ww. zasadą, dane osobowe mogą być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane.
Zasada ta ma stanowić zabezpieczenie osoby, której dane dotyczą, przed przetwarzaniem jej danych osobowych przez nieograniczony okres. Wobec powyższego obowiązkiem każdego administratora jest wyznaczenie niezbędnego okresu (okresu retencji danych osobowych), w jakim będzie przetwarzał zgromadzone przez siebie dane osobowe. Oczywiście w niektórych przypadkach okres ten został wprost przewidziany przez obowiązujące przepisy prawne jak np. w przypadku okresu przechowywania akt pracowniczych czy dokumentacji medycznej.
Natomiast w pozostałych sytuacjach to administratorzy mają obowiązek samodzielnie wyznaczyć przez jaki czas będą przechowywali zgromadzone przez siebie dane osobowe. Dlatego też, przy wyznaczaniu okresu retencji danych, administratorzy powołują się na terminy przedawnienia roszczeń cywilnoprawnych, opierając takie działanie na przesłance legalizującej przetwarzanie danych osobowych określonej w art. 6 ust. 1 lit. f RODO.
Czy rzeczywiście dochodzi do przetwarzania danych osobowych „na zapas”?
Odpowiadając na to pytanie, należy mieć przede wszystkim na uwadze to, że administratorzy nie są w stanie przewidzieć, kiedy i jakich roszczeń będą dochodziły osoby, których dane dotyczą. Ograniczenie uzasadnionego interesu realizowanego przez administratora tylko do roszczeń aktualnie dochodzonych w chwili wykonywania prawa do bycia zapomnianym, stawia go w pozycji mniej korzystnej niż podmiot praw, wykonujący to prawo. Osoba, której dane dotyczą może bowiem doprowadzić w ten sposób do trwałego usunięcia swoich danych osobowych, a następnie wystąpić z roszczeniem, co do którego administrator danych nie dysponuje już żadnymi środkami dowodowymi, z uwagi na usunięcie wszelkich danych.
Powyższe prowadzi do sytuacji, w której administratorzy są pozbawieni realnej możliwości obrony przed roszczeniami (zarówno na etapie sądowym, jak i pozasądowym), a tym samym do zachwiania równowagi pomiędzy prawem osób do dysponowania swoimi prawami a uzasadnionym interesem administratora. Podkreślenia wymaga, że obowiązek usunięcia danych osobowych, wiąże się z koniecznością usunięcia m.in. historii dokonywanych przez klienta transakcji oraz wszelkiej prowadzonej korespondencji, co pozbawia administratora posiadania jakichkolwiek środków dowodowych.
Powyższe ma ogromne znaczenie chociażby przy roszczeniach wynikających z art. 82 RODO, stosownie do którego to administrator, w przypadku ewentualnego postępowania, jest zobowiązany udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody (art. 82 ust. 3 RODO).
Sam dostęp do danych osobowych w wyniku wystąpienia osoby, której dane dotyczą z roszczeniem, nie będzie wystraczający, ponieważ administrator nie będzie dysponował innymi informacjami, które pozwoliłyby mu odeprzeć stawiane mu zarzuty.
Przedawnienie roszczeń a dane osobowe
Należy pamiętać, że roszczenia mogą być dochodzone w terminach przewidzianych przez przepisy Kodeksu cywilnego. Instytucja przedawnienia roszczeń została oparta na założeniu, że wierzyciel (czyli osoba, której przysługuje roszczenie względem dłużnika) może wykorzystać swoje uprawnienie przeciwko dłużnikowi w określonym terminie, a po jego upływie dłużnik – w zależności od swojego wyboru – może uchylić się od zaspokojenia roszczenia wierzyciela. Termin przedawnienia to termin na dochodzenie roszczenia, bez konieczności liczenia się z uchyleniem się przez dłużnika od jego zaspokojenia.
W związku z powyższym, skoro ustawodawca przewidział termin, w którym mogą być dochodzone roszczenia, należy przyjąć, że termin ten również uzasadnia przechowywanie danych osobowych do tego celu. Tym bardziej, że w polskim ustawodawstwie nie występuje instytucja „zapowiedzi z wystąpieniem roszczenia”. W powyższym przypadku, nie będzie dochodziło zatem do przetwarzania danych osobowych przez nieograniczony okres, ponieważ właśnie okres ten został wyznaczony przez przepisy dotyczące terminów przedawnienia roszczeń, co również przyczynia się do realizacji zasady ograniczonego przetwarzania danych osobowych. Praktyka powoływania się przez administratorów na przechowywanie danych przez okres wynikający z terminów przedawnienia roszczeń gwarantuje jednolite podejście, zapobiegając tym samym stosowaniu różnych okresów retencji danych w analogicznych sytuacjach i przetwarzaniu danych przez dłuższy okres.
Bezpłatna wiedza o RODO.
Korzystaj do woli!
Brak możliwości przetwarzania danych osobowych po zakończeniu stosunku zobowiązaniowego (z uwagi na konieczność usunięcia danych osobowych) na podstawie prawnie uzasadnionego interesu administratora, pozbawia administratora możliwości realizacji przysługujących mu praw.
Podejście innych państw
Jako przykład takiego podejścia może posłużyć Bułgaria, której sądy administracyjne stwierdziły, że administrator może oprzeć przetwarzanie danych osobowych szczególnych kategorii na podstawie prawnie uzasadnionego interesu administratora, którym jest ustalenie, dochodzenie lub obrona roszczeń (art. 9 ust. 1 lit. f RODO) w celu zabezpieczenia się przed roszczeniem mogącym wystąpić w przyszłości, a nie wyłącznie przed roszczeniem już istniejącym.
Co więcej, zaprezentowane stanowisko wskazuje, że podstawę prawną do przetwarzania danych osobowych w celu ustalenia, ochrony i dochodzenia roszczeń należy uznać za nadrzędną wobec interesów i praw osoby, której dane dotyczą i związku z tym, administrator nie musi przeprowadzać testu równowagi (ang. balancing test) polegającego na wykazaniu równowagi między interesami administratora a interesami, prawami i swobodami podmiotu danych, czyli osoby, której przetwarzane dane dotyczą.
Podsumowanie
Rozważając kwestie przetwarzania danych osobowych przez okres wynikający z przepisów dotyczących przedawnienia roszczeń cywilnoprawnych, należy pamiętać, że prawo do ochrony danych osobowych powinno być postrzegane w kontekście jego funkcji społecznej i zestawione z innymi prawami podstawowymi w myśl zasady proporcjonalności. Prawo do ochrony danych osobowych nie powinno ograniczać prawa administratorów do realnego dochodzenia lub obrony przed roszczeniami. Tym bardziej, że administrator przed dokonaniem przetwarzania na podstawie art. 6 ust. 1 lit. f RODO powinien przeprowadzić test równowagi, który wskazuje jak przewarzanie wpływa na wolności i prawa osób, których dane dotyczą i dopiero w oparciu o przeprowadzony test decyduje o oparciu przetwarzania na tej podstawie.
W związku z powyższym, przetwarzanie danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń na podstawie art. 6 ust. 1 lit. f RODO należy uznać za uzasadnione, oczywiście przy założeniu, że przetwarzanie będzie ograniczone wyłącznie do przechowywania i takie dane nie będą wykorzystywane do innych celów.
O RODO możemy mówić godzinami. Jeśli szukasz wsparcia najlepszych ekspertów na rynku, umów się na konsultacje z Cezarym Lutyńskim – wprowadzi Cię w świat przepisów i wskaże właściwą drogę.