Prezes Urzędu Ochrony Danych Osobowych kwestionuje możliwość przetwarzania danych osobowych wyłącznie w oparciu o uzasadniony interes, w celu dochodzenia lub obrony przed roszczeniami. To stanowisko opublikowano w sprawozdaniu z działalności w 2022 roku. Budzi ono wątpliwości – wyjaśniamy co w praktyce oznacza dla administratorów danych.
Praktyka administratorów
Przetwarzanie danych osobowych w celu dochodzenia lub obrony przed roszczeniami (w tym tymi hipotetycznymi) po zakończeniu współpracy jest powszechną praktyką. Podstawą takiego przetwarzania jest uzasadniony interes administratora, a terminem granicznym – okres przedawnienia.
Takie podejście jest zgodne z potrzebami administratorów przetwarzających dane osobowe. Zabezpiecza ich na wypadek ewentualnego sporu sądowego, który powstanie po zakończeniu współpracy. Ma to istotne znaczenie zwłaszcza w przypadku roszczeń, które przedawniają się na zasadach ogólnych (tj. generalnie po upływie 6 lat) oraz sporów pracowniczych, gdzie okres przedawnienia zwykle wynosi 3 lata.
Trzeba pamiętać, iż choćby o ile kooperacja z kontrahentem lub pracownikiem przebiegała prawidłowo, nie można wykluczyć, iż druga strona zdecyduje się na wystąpienie z roszczeniem (nawet bezzasadnym) po dłuższym czasie od zakończenia współpracy (jednak przez cały czas przed upływem terminu przedawnienia roszczeń).
Stanowisko PUODO i jego konsekwencje
Prezes UODO krytycznie ocenił możliwość przetwarzania danych osobowych w celu ochrony administratora przed roszczeniami. Stwierdził, iż obrona przed roszczeniami może nie być wystarczającym uzasadnieniem dla przetwarzania danych osobowych.
W efekcie, w ocenie organu administratorzy powinni usunąć dane po zakończeniu współpracy, o ile nie mają innych równoległych podstaw przetwarzania danych osobowych. W praktyce może to generować liczne problemy przedsiębiorców – administratorów.
Takie podejście jest kontrowersyjne również dlatego, iż w dotychczas wydawanych przez organ decyzjach odnaleźć można także takie, w których dopuszcza się możliwość przetwarzania danych na potrzeby zarządzania roszczeniami.
Co więcej, z dotychczas wydawanych orzeczeń sądów można wywnioskować bardziej liberalne podejście w obszarze możliwości przetwarzania danych osobowych na podstawie uzasadnionego interesu administratora (np. w zakresie przetwarzania danych kandydatów do pracy, w celu ochrony przed roszczeniami dyskryminacyjnymi).
Jak się zabezpieczyć?
Jednym ze sposobów, które mogą pomóc w znalezieniu argumentów uzasadniających przetwarzanie danych osobowych w celu ochrony przed roszczeniami może być przeprowadzenie testu równowagi (eng. Legitimate Interest Assessment – LIA).
Na wypadek ewentualnej kontroli, LIA pozwoli wykazać, iż administrator przeanalizował podstawy do przetwarzania tych danych, i w zależności od wyniku znalazł argumenty uzasadniające możliwość przetwarzania danych osobowych w celu skutecznej obrony przed roszczeniami.
W przypadku wątpliwości lub pytań w zakresie możliwych rozwiązań dotyczących przetwarzania danych osobowych na potrzeby zarządzania roszczeniami, zachęcamy do kontaktu z naszym zespołem.