Opisany przez DGP problem konieczności kasowania danych klientów po realizacji umowy wzbudził na tyle duże zainteresowanie czytelników, że wystąpiliśmy do sądu administracyjnego z wnioskiem o udostępnienie uzasadnień wyroków, w których przesądzono o takim obowiązku. Przypomnijmy - prezes Urzędu Ochrony Danych Osobowych w swych decyzjach nakazuje usunięcie danych, gdy przedsiębiorcy nie łączy już z konsumentem kontrakt. Sklep internetowy powinien więc usunąć informacje po dostarczeniu towaru, a bank po rozwiązaniu z nim umowy. Przedsiębiorcy uważają natomiast, że mają prawo przechowywać jeśli nie wszystkie, to przynajmniej niektóre dane, na wypadek choćby reklamacji czy innych roszczeń. Bez nich nie będą bowiem mieli argumentów w razie ewentualnego sporu.

Bez gromadzenia „na zapas”

DGP uzyskał uzasadnienia wyroków w dwóch takich sprawach. W pierwszej chodziło o przetwarzanie danych pewnego małżeństwa przez bank w związku z prowadzeniem rachunku. Spór dotyczył informacji marketingowej przesłanej tym klientom. Bank uważał, że miał do tego prawo, gdyż była ona przedstawiona na wyciągu z rachunku (za okres przed zamknięciem przez nich rachunku). Małżeństwo zażądało usunięcia wszystkich swych danych - nie tylko nazwisk, numerów PESEL czy adresu, ale również informacji o posiadanych wcześniej produktach banku czy numerze identyfikacyjnym nadawanym klientom. Bank odmówił, powołując się na art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes „w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami wnioskodawców”. Prezes UODO, do którego wpłynęła skarga w tej sprawie, uznał, że przepis ten nie uprawnia do przetwarzania danych na wypadek ewentualnych, niepewnych roszczeń. Wojewódzki Sąd Administracyjny w Warszawie w pełni podzielił tę argumentację. Skoro żadne roszczenia nie zostały jeszcze wysunięte, to nie ma przesłanek do przetwarzania danych.
„Prawidłowo zatem organ uznał, że brak jest spełnienia wskazywanej przez bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania skarżonych danych osobowych. Przesłanka z art. 6 ust 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem” - napisano w uzasadnieniu wyroku z 13 stycznia 2021 r. (sygn. akt II SA/Wa 607/20), podkreślając, że niedopuszczalne jest gromadzenie danych niejako „na zapas”.
Eksperci poproszeni przez nas o skomentowanie tej argumentacji uważają, że jest ona wewnętrznie sprzeczna.
- Nie można mówić o przetwarzaniu na zapas, skoro istnieją roszczenia, które mogą być dochodzone wobec administratora danych. Wszczęcie postępowania przed prezesem UODO sugeruje wprost, że osoba, której dane dotyczą, uważa, że przetwarzanie jej danych odbywało się z naruszeniem prawa, co bardzo jasno wskazuje na realną możliwość dochodzenia przez nią roszczeń przed sądem - przekonuje dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński
- Nie ma więc żadnego przetwarzania „na zapas”, jest ochrona przed istniejącym roszczeniem opartym o przepisy RODO lub kodeksu cywilnego, co do którego istnieją realne przesłanki wskazujące na to, że to roszczenie będzie dochodzone - pointuje.
Bank w opisywanym postępowaniu powoływał się dodatkowo na przepisy o rachunkowości czy przeciwdziałaniu praniu pieniędzy, które wprost nakazują przechowywanie przez bank danych klientów. To jednak również nie przekonało sądu.
- Dla mnie jest to kuriozalne. Jak sąd wyobraża sobie wykonanie decyzji administracyjnej polegającej na usunięciu danych osobowych z wystawionych dokumentów, jeżeli przedsiębiorca odpowiada karnoskarbowo za ochronę tych dokumentów przed modyfikacją? Podobnie w przypadku zaciągnięcia kredytu pożyczkodawca ma pewne obowiązki wskazane m.in. w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Służą one przecież zapewnieniu bezpiecznego obrotu finansowego właśnie poprzez możliwość zweryfikowania potencjalnego klienta, a także przetwarzania jego danych osobowych po zakończeniu świadczenia usługi - zauważa Piotr Liwszic, prawnik i autor serwisu Judykatura.pl.

Można zamrozić dane

Drugi z uzyskanych przez DGP wyroków dotyczy firmy wynajmującej samochody. Jeden z jej klientów był przekonany, że przekazała ona skan prawa jazdy osobie postronnej. Po przeprowadzeniu postępowania prezes UODO nie znalazł na to dowodów, ale zgodnie z żądaniem wydał decyzję nakazującą usunięcie imienia, nazwiska, adresu, numeru dowodu osobistego, numeru prawa jazdy. WSA w Warszawie uznał ją za prawidłową. Jego zdaniem firma nie wykazała, żeby przetwarzanie danych było niezbędne do celów wynikających z prawnie usprawiedliwionych interesów.
„Z ustaleń faktycznych nie wynika, aby wymieniony wystąpił z roszczeniem wobec spółki bądź też, by spółka dochodziła jakichkolwiek roszczeń od niego na drodze sądowej, które uzasadniałyby uprawnienie spółki do zachowania i przetwarzania jego danych osobowych w związku z ich zabezpieczeniem i dochodzeniem roszczeń. Tak więc spółka przetwarza jego dane osobowe w ww. celu wyłącznie na «zapas», aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami” - można przeczytać w uzasadnieniu wyroku z 11 marca 2021 r. (sygn. akt II SA/Wa 1340/20).
Sądy uznają więc, że tylko wówczas, gdy klient (lub sam przedsiębiorca) wysunie jakieś roszczenia, to można powołać się na przesłankę z art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes. Co więcej, ich zdaniem nie ma potrzeby przechowywania danych, bo w razie ewentualnego sporu i tak zostaną przekazane stronom. W pierwszym z opisanych uzasadnień stwierdzono, że „gdyby (hipotetycznie) wnioskodawcy wystąpili z roszczeniami do sądu powszechnego, musieliby podać wszystkie swoje dane osobowe, niezbędne do prowadzenia postępowania, określone w kodeksie postępowania cywilnego. Bank, jako hipotetyczny pozwany, miałby wtedy do nich pełny wgląd”.
Problem w tym, że firmom zależy nie na nazwisku czy adresie do korespondencji, tylko na historii kontaktów z klientem. Wypożyczalnia samochodów chce wiedzieć, kiedy wynajęła auto, za jaką kwotę, na jaki czas, bank - zachować historię rachunku. Twierdzą, że bez tego będą bezbronne w razie sporu z konsumentem.
- Dane raz usunięte nie mogą nagle ożyć. Dlatego, moim zdaniem, zamiast nakazu zaprzestania przetwarzania, powinno się stosować instytucję ograniczenia przetwarzania: RODO definiuje ją w art. 4 pkt 3 jako ograniczenie przetwarzania danych wyłącznie do ich przechowywania. Czyli mamy dane, nie usuwamy ich, ale możemy je wyłącznie przechowywać. To zaś oznacza, że w razie wystąpienia z roszczeniem np. po upływie dwóch lat, administrator ma dane i może się przy ich pomocy bronić - ale jednocześnie nie może ich wykorzystywać w innych celach, np. marketingowych. Nie wiem, dlaczego ani prezes UODO, ani sądy nie zwrócili na to uwagę, bo pozwoliłoby to zachować idealną równowagę między interesami administratora i osoby, której dane dotyczą - podpowiada dr Paweł Litwiński. ©℗
Co mówi RODO / Dziennik Gazeta Prawna - wydanie cyfrowe