WSA o przechowywaniu danych na potrzeby obrony lub dochodzenia roszczeń

WSA w wyr. z dnia 10 listopada 2021 r. sygn. akt. II SA/Wa 868/21 odrzucił pogląd organu zgodnie z którym, przechowywanie danych, mimo braku symptomów roszczenia niezwłocznie po zamknięciu umowy, stanowi przechowywanie „na zapas”.

Do czasu przedawnienia roszczeń

Stanowisko UODO:

Prezes UODO wskazał ponadto, że nie podziela stanowiska skarżącego Banku przedstawionego na okoliczność zarzutu naruszenia art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i § 21, art. 118 i art. 119 k.c., podtrzymując swoje stanowisko, iż przesłanka wskazana w art. 6 ust. 1 lit. f RODO nie stanowi podstawy dla przetwarzania przez skarżący Bank danych osobowych wnioskodawcy w celu ewentualnego dochodzenia roszczeń przez ten bank oraz obrony przez ewentualnymi roszczeniami kierowanymi wobec skarżącego Banku. Organ nadzorczy wskazał, że przetwarzanie danych w celu dochodzenia roszczeń (przetwarzanie w celach windykacyjnych) oraz obrony przed roszczeniami, nie jest tożsame z przetwarzaniem na wypadek przyszłej i niepewnej ewentualności konieczności dochodzenia roszczeń lub obrony przed nimi. Organ nadzorczy podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem mogącym powstać w przyszłości. Organ nadzorczy zauważył, iż podziela w tym zakresie stanowisko Naczelnego Sądu Administracyjnego zawarte w wyroku z dnia 27 marca 2018 r., sygn. akt I OSK 1459/16, z którego jasno wynika, że takiego rodzaju przetwarzanie stanowi niedopuszczalne przetwarzanie danych osobowych „na zapas”. Organ nadzorczy podkreślił, że przy przyjęciu odmiennej interpretacji wspomnianych przepisów, wnioskodawca zostałby pozbawiony ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Organ nadzorczy uznał bowiem, że przyjęcie za prawidłowe stanowiska strony skarżącej, jakoby przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel, w rozumieniu art. 6 ust. 1 lit. f RODO, oznaczałoby w konsekwencji, że dane osobowe wnioskodawcy mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Organ nadzorczy zauważył, że przyjęcie zaprezentowanego przez skarżący Bank stanowiska oznaczałoby możliwość przetwarzania danych osobowych bezterminowo, bowiem złożenie skargi do niniejszego organu nie jest ograniczone w czasie, podobnie jak roszczenie formułowane na podstawie art. 79 ust. 1 RODO, do którego rozstrzygnięcia w przedmiocie jego zasadności właściwy jest sąd powszechny.

Stanowisko Sądu:

Należy zatem konsekwentnie przyjąć, że w okresie, kiedy każda ze stron stosunku zobowiązaniowego może wystąpić do sądu z roszczeniami wynikającymi z tego stosunku, czyli przez określony odrębnymi przepisami okres przedawnienia roszczeń, istnieje prawnie uzasadniony interes administratora danych do ich przetwarzania, z zastrzeżeniem, że przetwarzanie to odbywa się w sposób ograniczony wyłącznie do celu, jakim jest cel dowodowy w ewentualnym postępowaniu sądowym, a zatem – co do zasady – przetwarzanie to winno polegać jedynie na przechowywaniu danych.

Według Sądu, przyjęcie odmiennego stanowiska, tzn. uznanie, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy wyłącznie sytuacji sporu już istniejącego, gdy celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia określonych okoliczności w zawisłym już sporze, prowadziłoby do wniosku, że administrator, niezwłocznie po wypowiedzeniu, czy też wykonaniu umowy (spełnieniu świadczenia wynikającego z danego stosunku prawnego), powinien usuwać dane osobowe. Takie podejście nie bierze jednak w ogóle pod uwagę m.in. faktu, że w obrocie gospodarczym administrator danych musi liczyć się z tym, że przez okres przedawnienia roszczeń jego kontrahent może zgłosić roszczenia wynikające np. z nienależytego wykonania zobowiązania, gdy skutki tego nienależytego wykonania ujawnią się dopiero po jakimś czasie od „zakończenia” umowy.

Taki sam pogląd wyrażono w wyr. z dnia 31 marca 2022 r. sygn. akt. II SA/Wa 3561/21:

W ocenie Sądu, nie sposób uznać, aby przesłanka z art. 6 ust. 1 lit. f RODO dotyczyła sytuacji wyłącznie już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, albowiem obejmuje ona również sytuacje, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem mogącymi powstać w przyszłości.

Dane będące przedmiotem żądania usunięcia a dane z żądania

Może dziwić dlaczego NSA kazał usuwać dane, a przechowywanie w celu obrony przed roszczeniami uznał za przechowywanie „na zapas”. Jednak zapoznanie się ze stanem faktycznym rzuca dodatkowe światło na tak wyrażone stanowisko. Tam chodziło o przechowywanie danych z przetwarzania legalizowanego zgodą, na potrzeby wykazania że zgodę wyrażono i odwołano. NSA słusznie zauważył, że:

Jak trafnie bowiem wskazuje organ w odpowiedzi na skargę kasacyjną nakaz określony w kwestionowanej decyzji nie dotyczy usunięcia informacji dotyczących odwołania zgody.

NSA wypowiedział się trochę nieprecyzyjnie, takie przechowywanie nie byłoby „na zapas” tylko było by absurdalne. Jeśli administrator twierdziłby że nie usunie nr tel i maila, bo potrzebuje wykazać, że miał te dane, to zakrawa na kpinę. Natomiast inną sprawą jest odnotowanie imienia nazwiska i daty usunięcia danych. Stąd powoływanie się przez UODO na wyrok w takim stanie faktycznym, jest nieadekwatne. Należy wątpić, że NSA wyraziłby pogląd, że przechowywanie dowodów na spełnienie świadczenia z umowy (zawierających dane osobowe) do czasu przedawnienia roszczeń odbywa się „na zapas” – na pewno nie można tego przewidywać z powołanego wyroku, przechowywanie dowodów na to, że dane były przetwarzane na podstawie zgody, to nie takiego rodzaju przetwarzanie jak przechowywanie dowodów na to, że należycie spełniono świadczenia (wykonanie umowy). Krótko mówiąc, NSA powiedział, że jeśli ado otrzyma zasadne żądanie usunięcia danych, to powinien je usunąć, natomiast nie powinien usuwać danych z żądania – czyli usuwać trzeba przedmiot zasadnego żądania, nie zaś dokument żądania, czy dane w tym dokumencie inkorporowane. Nie powiedział, że prawo ochrony danych obezwładnia uprawnienie do dowodzenia swoich twierdzeń, wynikające z k.c. i k.p.c., bo to by oznaczało niszczenie czy zwracanie dowodów.

Stosowny fragment uzasadnienia NSA:

Przenosząc powyższe rozważania na grunt rozpoznawanej sprawy stwierdzić należy, że przetwarzanie danych osobowych osób, które cofnęły zgodę nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Bank […] S.A., a w szczególności celu, którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych w celu obsługi wniosku kredytowego. Należy zwrócić uwagę, że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako „na zapas” z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych, czy postępowań administracyjnych bądź karnych.

Zauważyć należy, że wykonanie nakazu wynikającego z decyzji organu oznacza, że Bank nie będzie mógł dysponować jakimikolwiek danymi osobowymi, które zostały pozyskane za pomocą formularzy kontaktowych „Oferta” oraz „Oferta Przedsiębiorca”, a dotyczących osób, które odwołały zgodę na przetwarzanie tych danych przez Bank. Nie jest zatem prawidłowe rozumowanie Banku, że wykonanie nakazu wskazanego w kwestionowanej decyzji oznacza, że Bank nie będzie dysponował żadnymi danymi dotyczącymi osób, które odwołały zgodę na przetwarzanie danych. Jak trafnie bowiem wskazuje organ w odpowiedzi na skargę kasacyjną nakaz określony w kwestionowanej decyzji nie dotyczy usunięcia informacji dotyczących odwołania zgody.

Zatem eksponowany prze stronę skarżącą kasacyjnie argument, że usunięcie danych osobowych uzyskanych za pomocą ww. formularzy kontaktowych spowoduje, że w przypadku zakupu danych Bank nie będzie miał wiedzy o tym, które osoby nie życzą sobie ofert tego Banku, nie zasługuje na uwzględnienie choćby z tego względu, że Bank jest w posiadaniu informacji wynikających z odwołania zgody.

Wewnętrzne cele administracyjne spółek z grupy

Dodatkowo Sąd wskazał (II SA/Wa 3561/21), że udostępnienie spółce z grupy danych podmiotu na potrzeby udzielenie odpowiedzi do UODO, następuje na podstawie prawnie uzasadnionego interesu, zwłaszcza że motyw 48 rodo wyraźnie wskazuje, że spółki z grupy mają prawnie uzasadniony interes w przesyłaniu danych na potrzeby wewnętrznych celów administracyjnych.

Jakie jeszcze inne przykłady takich celów można wymienić? Wydaje się że przez wewnętrzny cel administracyjny należy rozumieć to, co jest potrzebne do bieżącej obsługi przedsiębiorstwa, czyli cele poszczególnych komórek organizacyjnych, np. sekretariat, dział HR, dział księgowy. Czyli spółka A może przykładowo prowadzić sekretariat dla siebie i spółek z grupy B i C, jeśli funkcjonują pod tym samym adresem. UODO wprost przewiduje, że centralizacja procesów w zakresie kadr i płac (tak, Ochrona danych osobowych w miejscu pracy, Poradnik dla pracodawców, Warszawa 2018, s. 33), czyli działalność CUW (SSC), będzie podpadała pod omawiane pojęcie. Jaki jest cel motywu 48 rodo? Żeby na to odpowiedzieć, trzeba zacząć od tego jaki jest cel art. 28 rodo i instytucji prawnej, którą reguluje. Powierzenie ma na celu zapewnienie podstawy prawnej odbiorcy danych, który sam jej wywieść nie może z art. 6 ust. 1 rodo. W ten sposób zwiększa bezpieczeństwo podmiotów danych, bo rozciąga odpowiedzialność ado na zgodne z jego poleceniami działanie podwykonawcy (art. 82 ust. 3 rodo) i wymaga uprzedniego sprawdzenia podwykonawcy. Motyw 48 wyjaśnia, że spółka z grupy ma podstawę w art. 6 ust. 1 lit. f rodo, ponieważ związki kapitałowe lub personalne między spółkami powodują, że odbiorca nie jest podmiotem obcym, który trzeba by sprawdzać (formalnie jest odrębną osobą prawną, ale faktycznie jest częścią organizacji, pod kontrolą jednej spółki – czyli pod względem faktycznym, spółka dla grupy, jest tym czym komórka organizacyjna dla spółki (zdając sobie sprawę z pewnego uproszczenia i różnic w stopniu kontroli)). Stąd stosowanie powierzenia do spółek z grupy jest bezprzedmiotowe, ponieważ nie jest w stanie spełnić swojej roli – w istotny sposób zwiększyć bezpieczeństwa podmiotów danych.

(48) Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim.

Artykuł 4 Definicje 19) „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane;