Subskrybuj nas na Youtube
Naczelny Sąd Administracyjny uznał, że nie należy przetwarzać danych osobowych na zapas. Tylko co to właściwie znaczy? I jak bez tych danych ustosunkować się do ewentualnych roszczeń?
Wyrok Naczelnego Sądu Administracyjnego, jaki zapadł 8 stycznia br. w sprawie jednego z banków (sygn. akt III OSK 4868/21), nie wzbudził zbyt dużego zainteresowania. Niesłusznie – powinien on zainteresować sporą część przedsiębiorców, nie tylko tych z sektora bankowego, którzy przetwarzają dane osobowe swoich klientów, a zwłaszcza dane byłych klientów. Istotą sprawy było udzielenie przez sąd odpowiedzi na pytanie, czy bank jest zobowiązany do usunięcia danych swych byłych klientów, czy też jest on uprawniony do ich dalszego przetwarzania z powołaniem się na ewentualne dochodzenie roszczeń lub obronę przed roszczeniami. Innymi słowy: czy okres dopuszczalnej retencji danych osobowych może być określany w oparciu o okres przedawnienia roszczeń cywilnoprawnych i wynosić np. trzy lub sześć lat.
Niejednolite orzecznictwo
Prezes Urzędu Ochrony Danych Osobowych, dość konsekwentnie, kwestionuje możliwość powoływania się na terminy przedawnienia roszczeń przy obliczaniu dopuszczalnego okresu przetwarzania danych klientów po zakończeniu obowiązywania umowy (np. umowy kredytu). W ocenie organu takie przetwarzanie jest działaniem „na zapas”, nie znajdującym uzasadnienia w przepisach RODO, a konkretnie w art. 6 ust. 1 lit. f RODO (klauzula prawnie uzasadnionego interesu). Według prezesa UODO powoływanie się na tę przesłankę byłoby dopuszczalne, jednak dopiero w sytuacji już istniejącego sporu pomiędzy stronami. Jeśli go zaś nie ma, to były klient ma prawo zażądać od przedsiębiorcy usunięcia swoich danych.
Wojewódzki Sąd Administracyjny w Warszawie, do którego trafiają tego rodzaju sprawy, orzeka niejednolicie. W części wyroków przyznaje rację prezesowi UODO, argumentując, że administratorzy danych powinni usuwać dane osobowe swoich klientów niezwłocznie po realizacji lub wygaśnięciu umowy (np. po spłaceniu kredytu), a to dlatego, że potencjalne roszczenia klientów (lub banku) należy traktować jako jedynie hipotetyczne i niepewne. Zgodnie z drugą linią orzeczniczą administrator danych jest uprawniony do przetwarzania danych do upływu przedawnienia ewentualnych roszczeń. W orzeczeniach tych WSA wskazuje, że uzależnienie istnienia podstawy przetwarzania danych od faktycznego wystąpienia z roszczeniem byłoby „postulatem niesprawiedliwym”, a ponadto byłoby niezgodne z brzmieniem art. 6 ust. 1 lit. f RODO. Co więcej, podważałoby prawo przedsiębiorców (administratorów danych) do obrony w trakcie wytoczonego procesu, stwarzałoby tym samym ryzyko nadużyć na szkodę przedsiębiorców, a pośrednio również ich klientów.
Wiele z tych wyroków (co najmniej 10) zostało zaskarżonych kasacyjnie przez administratorów i oczekuje aktualnie na rozpoznanie przed NSA. Choć w większości spraw nie wydarzy się to wcześniej niż za dwa, trzy, czy nawet cztery lata, co samo w sobie wymagać powinno reformy. Przy czym wyrok z 8 stycznia, jako pierwszy z całej serii, może (lecz nie musi) oddziaływać na pozostałe.
W praktyce to oddziaływanie może być niewielkie. Wynika to, po pierwsze, z tego, że wyrok ten zapadł na gruncie dość szczególnego stanu faktycznego. Po drugie zaś – co należy wyrazić z rozczarowaniem – ma to związek z wyjątkowo ograniczonym, niewnoszącym niczego nowego, a tym samym i nieprzekonującym uzasadnieniem, w którym NSA nie zadał sobie trudu, aby zagłębić się w istotę problemu.
Nieprzekonujące uzasadnienie
Dla stanu faktycznego sprawy oraz dla końcowego rozstrzygnięcia sądu znaczenie miała bowiem – jak się wydaje (z uwagi na lakoniczność argumentacji NSA wielu kwestii możemy się tu jedynie domyślać) – okoliczność wniesienia przez klientów banku o zakazanie bankowi „posługiwania się, przetwarzania i archiwizowania wszelkich danych osobowych ich dotyczących”, a wcześniej także wniesienie przez nich sprzeciwu oraz wycofanie stosownych zgód. Ten aspekt wybrzmiewa z końcowego fragmentu uzasadnienia, gdzie NSA wskazał, że bank nie wykazał dopuszczalności przetwarzania danych osobowych swoich (byłych) klientów w sytuacji wycofania przez nich zgody. Przemawia za tym również wcześniejszy wyrok WSA wydany w tej sprawie (z 13 stycznia 2021 r., sygn. II SA/Wa 607/20), w którym kwestii wniesienia sprzeciwu oraz wycofania zgody poświęcono stosunkowo dużo miejsca. Może to oznaczać, że NSA decyzji podmiotów danych (tj. byłych klientów banku) o wycofaniu zgody przypisuje na tyle istotne znaczenie, że o wiele trudniejsze jest wtedy powołanie się przez administratora na inną z przesłanek uprawniających do przetwarzania danych.
NSA ograniczył się do stwierdzenia, że „niedopuszczalne jest przetwarzanie danych osobowych niejako na zapas”, nie wyjaśniając jednak, co dokładnie według niego oznacza tego rodzaju przetwarzanie
Dlaczego uważam uzasadnienie orzeczenia za nieprzekonujące? Wynika to m.in. z braku odniesienia przez NSA przesłanek wynikających z art. 6 ust. 1 lit. f RODO (przy czym dość skrupulatnie przywołanych przez sąd) do konkretnego, analizowanego stanu faktycznego. Sąd pisze bowiem o „niezbędności”, „prawnie uzasadnionych interesach administratora”, czy o „racjonalnie uzasadnionej potrzebie przetwarzania”, zwraca ponadto uwagę na „szczególnego rodzaju relację” zachodzącą pomiędzy administratorem a podmiotem danych, a jednocześnie… nie analizuje żadnej z tych przesłanek w kontekście rozpatrywanej sprawy.
Droga do fikcyjnych pozwów
NSA ograniczył się do stwierdzenia, że „niedopuszczalne jest przetwarzanie danych osobowych niejako na zapas”, nie wyjaśniając jednak, co dokładnie według niego oznacza tego rodzaju przetwarzanie. Jeśli przyjąć, że chodzi tu o umożliwienie administratorowi (przedsiębiorcy) obrony przed ewentualnymi roszczeniami, jakie mogą wnieść jego byli klienci, to uznać należy, że NSA nie dostrzega dość elementarnej specyfiki obrotu gospodarczego i stosunków cywilnoprawnych. Ta zaś sprawia, że klienci banków mogą występować (i w praktyce występują) z roszczeniami, nawet wiele lat po ustaniu określonego stosunku prawnego, np. po spłacie kredytu. Przyczyny zupełnego przemilczenia przez NSA tego – absolutnie kluczowego dla obrotu – zagadnienia doprawdy trudno jest odgadnąć. Choć być może to i lepiej, jeśli uwzględnić absurdalne stanowisko WSA, który uzasadniając swoje rozstrzygnięcie, stwierdził: „Gdyby natomiast (hipotetycznie) [byli klienci banku] wystąpili z roszczeniami do sądu powszechnego, musieliby podać wszystkie swoje dane osobowe, niezbędne do prowadzenia postępowania, określone w kodeksie postępowania cywilnego. Bank, jako hipotetyczny pozwany, miałby wtedy do nich pełny wgląd”. Nie trzeba być specjalistą od postępowania cywilnego, aby uznać, że coś tu jest nie tak. Podważałoby to chronione konstytucją i umowami międzynarodowymi prawo do obrony przed sądem, a wręcz stwarzałoby warunki do wnoszenia fikcyjnych powództw, i tym samym narażałoby obrót gospodarczy (nie tylko bankowy) na oszustwa, a w najgorszym przypadku – na destabilizację.
Jak można również wnioskować z uzasadnienia wyroku, NSA kwestionuje dodatkowe podstawy przetwarzania danych osobowych byłych klientów z uwagi na rzekome ryzyko „nieograniczonego czasowo” przetwarzania danych, co dodatkowo czyniłoby fikcyjnym korzystanie z prawa do bycia zapomnianym. Takie podejście wskazuje jednak na brak zrozumienia przez sąd podstawowych zasad przetwarzania danych osobowych. Powołanie się bowiem przez administratora na przepis prawa, który uprawnia do przetwarzania danych, jednak który nie precyzuje dopuszczalnego okresu dla takiego przetwarzania (a takie przypadki są w praktyce najczęstsze), nie prowadzi automatycznie do tego, że dane przetwarzane są przez nieograniczony niczym czas. W praktyce najpowszechniej stosowaną granicą czasową jest właśnie okres przedawnienia roszczeń, który w większości przypadków można precyzyjnie zdefiniować, tym samym pozwalając na pełną realizację zasady ograniczenia czasowego przetwarzania danych.
Czekając na kolejne wyroki
Pomimo tych zastrzeżeń, nie sposób zupełnie pominąć komentowanego tu wyroku. To od poszczególnych administratorów zależeć będzie, w jaki sposób uwzględnią argumentację NSA (lub raczej jej brak) w wewnętrznych procesach przetwarzania danych osobowych. Z pewnością nie zamyka to również tematu związanego z przetwarzaniem danych osobowych byłych klientów (nie tylko zresztą przez banki). Należy przy tym wyrazić nadzieję, że nad kolejnymi, czekającymi na rozstrzygnięcie sprawami NSA pochyli się z dużo większą uwagą, rozważając wszelkie „za” i „przeciw”, z pełną świadomością skutków swego rozstrzygnięcia zarówno w kontekście wymogów RODO, jak również aspektów procesowych oraz wpływu na stabilność obrotu gospodarczego.
Co przy tym istotne, NSA już wcześniej, bo w lutym 2024 r. (sprawa o sygn. III OSK 2700/22), rozpatrując analogiczny problem, uznał, że art. 6 ust. 1 lit. f RODO może stanowić podstawę do przetwarzania danych osobowych „na wypadek ewentualnego sporu sądowego”, nawet gdy spór taki jest jedynie „potencjalny”. I nie tylko kierunek tego rozstrzygnięcia jest tu godny zauważenia, ale przede wszystkim sam sposób uzasadnienia przez sąd swego stanowiska – pogłębiony, kompleksowy i przede wszystkim dotykający istoty problemu. ©℗
