WSA o wewnętrznych celach administracyjnych i prawnie uzasadnionym interesie

W tym orzeczeniu WSA w Warszawie odnajdujemy bardzo cenny i praktyczny pogląd Sąd w zakresie pozyskiwania danych osobowych, od innej spółki z grupy podmiotów administratora, w celu udzielenie odpowiedzi na żądanie Prezesa UODO.

Orzeczenie Sąd jak i skarżona decyzja Prezesa UODO przynoszą bardzo istotne informacje w zakresie:

  • pozyskiwania danych osobowych od innego administratora
  • wykładni prawnie uzasadnionego interesu
  • możliwości przetwarzania danych osobowych w celu obrony przed roszczeniami, które jeszcze nie istnieją

Zaczynając od opisu stanu faktycznego warto wskazać, że “podmiot” danych dwukrotnie zwrócił się do Spółki z żądaniem zaprzestania przetwarzania jego danych.

Żądanie to nie zostało spełnione, a administrator polecił osobie kontakt z zewnętrzną firmą w celu udzielenia odpowiedzi na jego żądanie.

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Wyszukiwarka Plus 360 dni
2899
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram
Wyszukiwarka 360 dni
2365
 PLN z VAT
  • Baza Orzeczeń Sądów i Trybunałów
  • Eksperckie tezy wybranych orzeczeń
  • Decyzje Prezesa UODO
  • Decyzje Europejskich Organów Nadzorczych
  • Wytyczne i Opinie EDPB oraz EDPS
  • Źródło argumentów w postępowaniu administracyjnym
Wybieram

Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


    Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

    Na tym etapie spółka stwierdziła, że:

    nie jest w stanie ustalić jego tożsamości i poprosiła o przesłanie skanu dowodu osobistego. W związku z tym, że skarżący kontaktuje się ze Spółką poprzez ten sam adres email na który zostało zarejestrowane konto w serwisie G. uważa on, że to powinno być wystarczające do ustalenia jego tożsamości.

    Prezes Urzędu Ochrony Danych Osobowych w sierpniu 2021 r. wydał decyzję administracyjną na mocy której udzielił Spółce upomnienia w związku z naruszeniem art. 5 ust. 1 lit. a w zw. z art. 6 ust. 1  RODO polegającym na bezpodstawnym pozyskaniu od G. […] z siedzibą w […] i dalszym przetwarzaniu danych osobowych Pana M. B. oraz nakazał usunięcia danych osobowych Pana M. B. bezpodstawnie pozyskanych od G. […] z siedzibą w [….].

    Powyższa decyzja była podyktowana ustaleniami stanu faktycznego tj. wskazaniem przez Spółkę, że:

    dane osobowe skarżącego pozyskała […] lipca 2015 r. bezpośrednio od skarżącego w celu realizacji umowy zakupu pomiędzy skarżącym a Spółką zgodnie z art. 6 ust. 1 lit. b RODO.

    uzyskane dane posłużyły utworzeniu konta dla skarżącego, pozwalając mu tym samym na dokonywanie zakupów zgodnie z wymogami. Kategorie przetwarzanych przez Spółkę danych osobowych Skarżącego obejmują: imię i nazwisko, adres mailowy, adres zamieszkania, numer identyfikacyjny użytkownika oraz informacje związane z dokonana transakcją;

    skarżący skontaktował się ze Spółką 22 lipca 2018 r. w kwestii przetwarzania jego danych osobowych, kiedy to zażądał od Spółki ich usunięcia. Spółka wykorzystuje usługi firmy zewnętrznej O. jako techniczne wsparcie do rozpatrywania tego typu żądań. Spółka odpowiedziała na żądanie Skarżącego 30 lipca 2018 r., prosząc o dokument umożliwiający weryfikację jego tożsamości. Prośba ta była zgodna z ówczesnymi procedurami Spółki. Skarżący nie przedstawił żadnego dokumentu tożsamości. Od tego czasu Spółka zmieniła swoje procedury i nie wymaga już dokumentu umożliwiającego weryfikację tożsamości. W chwili obecnej wymagana jest weryfikacja adresu mailowego klienta.

    Spółka nadal przetwarza dane osobowe skarżącego. Podstawą prawną przetwarzania owych danych osobowych jest konieczność wywiązania się Spółki z umowy ze skarżącym zgodnie z art. 6 ust. 1 lit. b) rozporządzenia 2016/679, jak również prawny obowiązek dokumentacji transakcji finansowych zgodnie z art. 6 ust. 1 lit. c) rozporządzenia 2016/679.

    pomiędzy Spółką a G. […], nie istnieje relacja w zakresie przetwarzania danych osobowych Skarżącego, ponieważ Spółka nie przetwarza i nie przetwarzała w przeszłości danych osobowych skarżącego w żadnym innym celu niż prowadzanie postępowania w niniejszej sprawie.

    Aktualności Plus 360 dni
    599
     PLN z VAT
    • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
    • Fachowe i czytelne podsumowanie omawianego orzeczenia
    • Dostęp do wszystkich aktualności na stronie
    • Jako pierwszy masz dostęp do ważnych argumentów
    Wybieram
    Aktualności Plus 30 dni
    Przez 30 dni masz dostęp do najnowszych aktualności z RODO
    49.99
     PLN z VAT
    • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
    • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
    • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
    • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
    Wybieram
    Wyszukiwarka Plus 360 dni
    2899
     PLN z VAT
    • Dostęp do Wyszukiwarka 360 Dni
    • Dostęp do Aktualności Plus 360 Dni
    • 3 konsultacje RODO w ramach subskrypcji
    Wybieram

    Wojewódzki Sąd Administracyjny wskazał, że stanowisko Prezesa UODO odnoszące się do przetwarzania danych w oparciu o prawnie uzasadniony interes jest nieprawidłowe.

    Sąd poniósł, że:

    Prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem. Owa zgodność z prawem stanowi ograniczenie pojęcia interesu administratora lub strony trzeciej jako potencjalnej podstawy do przetwarzania danych osobowych.

    Tak rozumiany prawnie uzasadniony interes musi być realizowany przez administratora lub przez stronę trzecią. Podkreślić przy tym trzeba, że może to być interes nie tylko administratora, który przetwarza już dane osobowe, lecz również administratora, któremu dane te mogą dopiero zostać ujawnione.

    Pojęcie niezbędności oznacza z kolei, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne, a więc musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.

    W ocenie Sądu, nie sposób uznać, aby przesłanka z art. 6 ust. 1 lit. f RODO dotyczyła sytuacji wyłącznie już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, albowiem obejmuje ona również sytuacje, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem mogącymi powstać w przyszłości.

    Zgodnie z art. 118 Kodeksu cywilnego, jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia roszczeń wynosi 6 lat, a dla roszczeń o świadczenie okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – 3 lata. Koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego, chyba że termin przedawnienia jest krótszy niż 2 lata. Przy czym, po upływie terminu przedawnienia roszczeń nie będzie można mówić już o uzasadnionym interesie do dalszego przetwarzania danych osobowych skarżącej na tej podstawie. Na obecnym etapie jest, to jednak jak najbardziej uzasadnione.

    Prawodawca unijny nie odnosi się przy tym do kategorii danych, a kładzie nacisk na wskazanie celów przetwarzania (“wewnętrznych celów administracyjnych”). Tym bardziej pozyskanie danych przez Spółkę, na wyraźne zobowiązanie Prezesa UODO, należy uznać za działanie mieszczące się w dyspozycji art. 6 ust. 1 lit. f RODO.

    Zapisz się do newslettera
    X

    Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności