Czy można przechowywać dane w celu ochrony przed potencjalnymi roszczeniami?

1 tydzień temu

Przetwarzanie danych osobowych na potrzeby ustalenia, dochodzenia lub obrony przed potencjalnymi roszczeniami jest istotne z perspektywy administratorów danych osobowych. W wielu przypadkach takie działanie może okazać się najważniejsze dla skuteczności takiej obrony. Organ nadzorczy niezmiennie twierdzi, iż jest to niezgodne z przepisami. NSA podziela to stanowisko w najnowszym wyroku, który nie przesądza jednak zmiany praktyki rynkowej.

W tekście analizujemy wspomniany wyrok i zdradzamy kroki, jakie warto zrobić, aby zabezpieczyć przetwarzanie danych na wypadek ewentualnych roszczeń.

Sprawa dotyczyła relacji bank-klient

Klienci banku sprzeciwili się przetwarzaniu ich danych osobowych po zamknięciu rachunków. Mimo rozwiązania umów, bank przez cały czas przechowywał ich dane m.in. w celu obrony przed roszczeniami. Byli klienci zdecydowali się więc na złożenie skargi do Prezesa UODO, który nakazał instytucji usunięcie danych i udzielił upomnienia.

Na tę decyzję bank złożył skargę do Wojewódzkiego Sądu Administracyjnego, który ją oddalił. Uznał przy tym decyzję Prezesa UODO za prawidłową. Tego samego zdania był Naczelny Sąd Administracyjny[i], rozpoznający skargę kasacyjną banku.

Prezes UODO, WSA i NSA o przechowywaniu danych na potrzeby dochodzenia roszczeń

Prezes UODO i sądy rozpoznające sprawę uznali zgodnie, iż przetwarzanie danych osobowych w celu obrony przed potencjalnymi roszczeniami, uzasadniane interesem administratora, jest niezgodne z RODO. Takie działanie stanowi przetwarzanie „na zapas”.

NSA argumentował takie podejście tym, iż dopuszczalność przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu wymaga spełnienia łącznie 3 przesłanek.

Dodatkowo sąd wskazał, iż uzasadniony interes w przetwarzaniu danych powinien opierać się na analizie relacji łączącej administratora z osobą, której dane dotyczą. Trzeba również ustalić, czy treść i charakter tej relacji uzasadniają takie przetwarzanie danych w określonym czasie i zakresie.

Bank argumentował, iż przetwarzał dane osobowe byłych klientów, ponieważ nie upłynął jeszcze termin przedawnienia roszczeń związanych z łączącą ich wcześniej umową. W konsekwencji dane osobowe mogłyby okazać się niezbędne na wypadek sporu sądowego. Ich usunięcie skutkowałoby pozbawieniem się potencjalnych dowodów w sprawie.

NSA wskazał jednak, iż bank nie udowodnił istnienia takich roszczeń, więc nie miał prawa przetwarzać danych.

Usunięcie danych naraża administratora na poważne konsekwencje

Usunięcie danych osobowych w momencie zakończenia realizacji umowy może skutkować znaczącymi negatywnymi konsekwencjami dla administratorów danych. Chodzi tu np. o:

  • brak możliwości weryfikacji zasadności roszczenia złożonego przez kontrahenta czy klienta,
  • brak możliwości obrony i przedstawiania dowodów w postępowaniu sądowym,
  • przegraną w sporach sądowych i ponoszenie odpowiedzialności.

W podobnej sprawie NSA miał odmienne stanowisko

Przypomnijmy, iż w jednym z niedawnych wyroków[ii], NSA wyraził odmienny pogląd. Zaznaczył w nim, iż przyjęcie braku możliwości przetwarzania danych osobowych dla celów obrony przed potencjalnymi roszczeniami, byłoby podejściem zbyt formalistycznym i nieznajdującym potwierdzenia w przyjętym rozumieniu uzasadnionego interesu jako podstawy przetwarzania[iii].

Sąd argumentował, iż w przypadku istnienia relacji pomiędzy administratorem a podmiotem danych, nie można z góry wyłączyć możliwości przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu administratora. Powodem jest potencjalność tego roszczenia.

Oczywiście warto to każdorazowo zweryfikować. Trzeba wówczas ocenić, czy w ramach łączącej strony relacji istnieją potencjalne roszczenia. jeżeli tak, to fakt ten może uzasadniać przetwarzanie danych niejako „na zapas” dla celów potencjalnych roszczeń.

Choć sąd orzekał tu w nieco innym kontekście – roszczeń dyskryminacyjnych w rekrutacji – zmiana podejścia NSA wciąż dziwi. Warto jednak pamiętać, iż omawiany wyrok dotyczy specyficznej relacji (bank-klient) i naszym zdaniem nie powinien przesądzać o generalnym podejściu w tej kwestii.

Wnioski i wskazówki dla administratorów danych

Konsekwencje omawianego wyroku powinny być odczytywane z ostrożnością, bo – jak wspomnieliśmy – sama sprawa dotyczyła specyficznej relacji. Niemniej, można na jego podstawie wyciągnąć kilka cennych wskazówek dla administratorów danych. Oto 4 kluczowe:

  1. Przeprowadzenie i udokumentowanie testu równowagi – który może pomóc w uzasadnieniu stosowania wspomnianej praktyki i wykazaniu, czy ewentualne prawa i wolności podmiotów danych nie są nadrzędne wobec interesów administratora.
  2. Reagowanie na żądania podmiotów danych – administratorzy muszą być przygotowani na odpowiednie reagowanie m.in. na sprzeciwy osób, których dane dotyczą (szczególnie, jeżeli odnoszą się do działań marketingowych).
  3. Odpowiednia koordynacja działań – zapewnienie zgodności z RODO w przypadku zgłoszenia żądania przez podmioty danych często wymaga współpracy kilku działów w organizacji. Warto posiadać wewnętrzne procedury dotyczące reagowania w takich przypadkach. Dodatkową pomocą mogą okazać się przystępne materiały informacyjne, takie jak infografiki, które podsumowują podstawowe zasady związane z prawami podmiotów danych. Pozwoli to na odpowiednie przygotowanie organizacji do terminowej realizacji zgłoszonych żądań.
  4. Precyzyjne reguły retencji danych – warto uregulować zasady retencji oraz postępowania z danymi po upływie okresu ich przechowywania (np. w formie polityki). A o ile takie zasady zostały już wdrożone, trzeba pamiętać o ich przeglądzie i w razie potrzeby – aktualizacji.

Z uzasadnienia wyroku NSA płynie jeszcze jedna ważna wskazówka. To administratorzy danych są zobowiązani do wykazania, iż przestrzegają zasad ochrony danych osobowych. Dlatego tak ważne jest przeprowadzenie niezbędnych analiz w udokumentowanej formie oraz wdrożenie dokumentacji wewnętrznej. jeżeli potrzebują Państwo wsparcia w tym zakresie lub mają jakieś pytania do kwestii przechowywania danych na potrzeby dochodzenia roszczeń, zachęcamy do kontaktu.

[i] Wyrok NSA z 8.01.2025 r., III OSK 4868/21, LEX nr 3818703.

[ii] Wyrok NSA z 20.02.2024 r., III OSK 2700/22, LEX nr 3694591.

[iii] Art. 6 ust. 1 lit. f RODO

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Czy można przechowywać dane w celu ochrony przed potencjalnymi roszczeniami?

Powiązane

Nigdy nie martw się o ponowne udostępnienie swojego osobistego telefonu z numerem surfshark

Nigdy nie martw się o ponowne udostępnienie swojego osobiste...

18 godzin temu
Wyciek dokumentów z docer.pl. Tak sprawdzisz czy twoje dane są bezpieczne

Wyciek dokumentów z docer.pl. Tak sprawdzisz czy twoje dane ...

3 dni temu
Oszuści internetowi coraz bardziej bezczelni. Tym razem okradają użytkowników platform streamingowych

Oszuści internetowi coraz bardziej bezczelni. Tym razem okra...

4 dni temu
NSA oddala skargę Alior Banku i BIK. Ochrona danych osobowych górą

NSA oddala skargę Alior Banku i BIK. Ochrona danych osobowyc...

4 dni temu
Sąd: bank odmówił kredytu, więc nie może przetwarzać danych osobowych

Sąd: bank odmówił kredytu, więc nie może przetwarzać danych ...

4 dni temu
Ale to już było… Usunięty przycisk powraca do Edge

Ale to już było… Usunięty przycisk powraca do Edge

5 dni temu
Chińska aplikacja nie do pobrania

Chińska aplikacja nie do pobrania

5 dni temu
Czy Vertical w Polsce jest legalny?

Czy Vertical w Polsce jest legalny?

6 dni temu
Jak skorzystać z dostawy za 1 zł IKEA?

Jak skorzystać z dostawy za 1 zł IKEA?

1 tydzień temu