Po wykonaniu umowy firmy muszą kasować dane – uważają UODO i sądy. Przedsiębiorcy zaś boją się, że nie będą mogli się bronić przed roszczeniami konsumentów.
Na potrzeby realizacji umowy z klientem firma musi przetwarzać jego dane osobowe. Nie chodzi tylko o samo imię i nazwisko czy adres dostawy. Banki przechowują historię transakcji, wypożyczalnia samochodów nie tylko dokładne godziny, ale czasem nawet trasę przejazdu, sklep internetowy potwierdzenia dostawy towaru. Zazwyczaj nie budzi to większych wątpliwości (może poza zakresem danych uznawanych za niezbędne), nie wymaga nawet zgody klienta, bo podstawa prawna wynika wprost z RODO. Co jednak z tymi danymi, gdy kontrakt ustanie? Tu zaczynają się problemy.
Przedsiębiorcy uważają, że mają prawo przechowywać te dane na wypadek ewentualnych roszczeń. Wspomniany bank chce nadal mieć historię transakcji, na wypadek choćby pozwu frankowego, wypożyczalnia aut – trasę przejazdu, gdyby okazało się, że doszło do jakiejś kolizji, e-sklep potwierdzenie dostarczenia towaru. Uważają, że potencjalna możliwość wysunięcia roszczeń daje podstawę prawną do przetwarzania danych. Innego zdania jest natomiast Urząd Ochrony Danych Osobowych, który w wydawanych przez siebie decyzjach nakazuje usunięcie tych danych. W ostatnim czasie zapadło kilka wyroków, w których sądy zgodziły się z jego argumentacją (ich uzasadnień nie zamieszczono jeszcze w bazie orzecznictwa).
Jeśli przedsiębiorca usunął wszystkie dane, bo umowa została zrealizowana, to przecież nie będzie nawet w stanie stwierdzić, czy osoba, która zgłasza się do niego z roszczeniem, była jego klientem
Administratorzy uznają, że podstawę prawną do przechowywania danych daje im art. 6 ust. 1 lit. f RODO. Przepis ten mówi o przetwarzaniu niezbędnym do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Zdaniem UODO nie można jednak pod to podciągać ewentualnych roszczeń, których były klient może nigdy nie wysunąć.
– Przesłanka określona w art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem – tłumaczy Adam Sanocki, rzecznik prasowy UODO.
„Skoro administrator nie jest w stanie wskazać roszczenia, którego zaspokojenia domaga się od niego osoba, jak również brak jest sporu toczącego się między osobą a administratorem dotyczącego stosunku zobowiązaniowego, w ocenie UODO brak jest celu uzasadniającego przetwarzanie danych osobowych, w rozumieniu art. 6 ust. 1 lit. f RODO. Wobec powyższego, kontynuowanie przetwarzania danych osobowych w celu zabezpieczenia i dochodzenie lub obrona przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, należy uznać za zbędne i niezgodne z obowiązującymi przepisami o ochronie danych osobowych” – uzasadniono jedną z decyzji.
Bez możliwości obrony
Przedstawiciele środowisk biznesowych uważają, że takie podejście pozbawia firmy szans na obronę. Nie mając danych, nie mogą skutecznie podważać roszczeń.
– Upowszechnienie tego stanowiska będzie szkodliwe zarówno dla przedsiębiorców, jak i konsumentów. W znanych mi decyzjach prezes UODO nakazuje, aby po zakończeniu umowy usunąć praktycznie wszystkie dane konsumenta, w tym również dane o produktach i usługach, które konsument nabył. Ignoruje się tym samym różne przepisy, które często nakazują przechowywanie danych dla innych celów przez okres dłuższy niż umowa, ale przede wszystkim uniemożliwia się obu stronom dochodzenie roszczeń, które mogą pojawić się po jej zakończeniu. Tak może być w sprawie frankowiczów, ale i przy prostym zakupie towaru w sklepie internetowym – mówi dr hab. Arwid Mednis, radca prawny z kancelarii Kobylańska Lewoszewski Mednis.
W jednym z wyroków sąd stwierdził, że składając pozew, klient sam przecież poda swoje dane. A więc ich przechowywanie nie ma sensu. Problem w tym, że imię i nazwisko klienta to nie wszystko.
– Jeśli przedsiębiorca usunął wszystkie dane, bo umowa została zrealizowana, to przecież nie będzie nawet w stanie stwierdzić, czy osoba, która zgłasza się do niego z roszczeniem, była jego klientem. Na jakiej podstawie przedsiębiorca ma ocenić słuszność roszczenia? Dlatego jestem przekonany, że co do zasady przechowywanie danych osobowych przez okres przedawnienia roszczeń powinno być traktowane jako prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f RODO – zaznacza dr hab. Arwid Mednis.
Roszczenia nie wygasają
Doktor Paweł Litwiński, adwokat z kancelarii Barta Litwiński, podaje przykład firmy zajmującej się windykacją należności. Kupuje ona wierzytelności, a następnie prowadzi windykację: dzwoni, wysyła listy, SMS-y, w końcu dłużnik płaci.
– Zgodnie ze stanowiskiem prezesa UODO, w tym momencie przedsiębiorca powinien usunąć nagrania rozmów z byłym dłużnikiem czy informacje obrazujące częstotliwość i treść wysyłanych SMS-ów. Co jednak będzie w sytuacji, gdy były dłużnik po roku uzna, że działania windykacyjne nadmiernie ingerowały w jego prywatność, i pozwie firmę? Jak ma się ona bronić i dowodzić, że SMS nie naruszał prawa, gdy nie ma już ona do niego dostępu? – zastanawia się prawnik.
Zwraca uwagę, że roszczenia mają to do siebie, że nie da się przewidzieć, czy zostaną wysunięte, czy też nie. Racjonalny przedsiębiorca zawsze jednak powinien zakładać taką możliwość, co wiąże się z kolei z prawem do obrony.
– Roszczenia mają to do siebie, że można ich skutecznie dochodzić przed sądem aż do upływu okresu przedawnienia, a ten liczony jest w latach. I to, że w danej chwili roszczenie nie jest dochodzone, nie oznacza, że nie będzie dochodzone za tydzień, za miesiąc czy za rok – przekonuje dr Paweł Litwiński.
– Pozbawienie możliwości obrony przed roszczeniami to pozbawienie prawa do sądu, prawa, które nam gwarantuje konstytucja. Z drugiej strony, prywatność i prawo do ochrony danych osobowych też są gwarantowane konstytucyjnie. Dlatego prawa te trzeba wyważyć wobec siebie, a nie chronić tylko jedno kosztem drugiego – dodaje adwokat.
Zapytani przez nas eksperci są przekonani, że przedsiębiorcy powinni móc przechowywać dane, które mogą się okazać niezbędne do obrony przed roszczeniami, co najmniej do czasu ich przedawnienia. Niektóre jednak nawet jeszcze dłużej.
– Fakt przedawnienia roszczeń – bo oczywiście roszczenie przedawnione nie wygasa – powinien mieć wpływ na zakres danych, jakie się przechowuje. Powracając do przykładu windykacji – żeby się bronić przed przedawnionym roszczeniem, nie muszę przedkładać w sądzie treści rozmowy windykacyjnej, ale wystarczy data tej rozmowy – zauważa dr Paweł Litwiński.
Z kolei dla UODO to argument za tym, by dane kasować zaraz po ustaniu umowy.
– Akceptacja przetwarzania danych osobowych z powodu ewentualnego i nieokreślonego roszczenia oznaczałaby, że dane osobowe mogą być przetwarzane przez administratora permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwe jest przecież, by osoba zwróciła się do administratora z roszczeniem po upływie terminu przedawnienia roszczenia – zwraca uwagę Adam Sanocki. ©℗
Na co skarżą się Polacy