NSA: prawnie uzasadniony interes nie pozwala na przetwarzanie danych po zakończeniu umowy

Naczelny Sąd Administracyjny opublikował uzasadnienie wyroku dotyczącego przetwarzania danych osobowych przez pewien Bank po zakończeniu świadczenia usługi.

Sprawa rozpoczęła się od skargi obywatela z lipca 2018 r., który wnosił do Prezesa UODO o zbadanie “nieprawidłowości w procesie przetwarzania ich danych osobowych przez Bank, polegające na przetwarzaniu danych osobowych wnioskodawców bez podstawy prawnej oraz do celów marketingowych”.

Prezes UODO w styczniu 2020 r. wydał decyzję, w której:

nakazał usunięcia przez bank, danych osobowych wnioskodawców, w zakresie ich imion, nazwiska, typu dokumentów tożsamości, numerów dokumentów tożsamości, dat ważności dokumentów tożsamości, kraju wydania dokumentów tożsamości, numerów identyfikacyjnych PESEL, dat urodzenia, miejsc urodzenia, kraj urodzenia, statusów rezydencji, obywatelstwa, imion rodziców, stan cywilnego, nazwisk panieńskich matek, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy zatrudnienia i preferowanego języka kontaktu, danych dotyczących posiadanych produktów banku, numerów CIF (numer identyfikacyjny nadawany klientom banku)

udzielił bankowi upomnienia za naruszenie art. 6 ust. 1, art. 12 ust. 2 i ust. 3, oraz art. 21 ust. 3 rozporządzenia 2016/679 polegające na: a) nieuwzględnieniu w terminie sprzeciwu wnioskodawców, wyrażonego w piśmie z dnia 23 maja 2018 r,, z naruszeniem przepisu, zgodnie z którym, administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22, b) przetwarzaniu danych osobowych wnioskodawców, w celach marketingowych bez podstawy prawnej, pomimo zgłoszonego sprzeciwu

WSA w Warszawie oddalił skargę wniesioną przez administratora danych wskazując, że:

z przedstawionych wyżej ustaleń Sądu bezsprzecznie wynika, iż w toku prowadzonego przez organ postępowania, skarżący nie wskazywał by przetwarzał dane osobowe wnioskodawców na innej niż określona w art. 6 ust. 1 lit. f) rozporządzenia 2016/679 podstawie, tj. w celu zabezpieczenia swoich interesów w razie ewentualnych roszczeń wnioskodawców.

odnosząc powyższe regulacje prawne do stanu faktycznego niniejszej sprawy Sąd stwierdza, że w sytuacji, gdy wnioskodawcy – w następstwie pisma skarżącego z dnia […] maja 2018 r. “informacje dotyczące przetwarzania danych osobowych (…)”, złożyli pismo z dnia […] maja 2018 r., w którym zwrócili się do banku o zaprzestanie przesyłania na ich adres materiałów reklamowych i wyciągów bankowych oraz zawarli pisemne oświadczenie o wycofaniu zgody na przetwarzanie ich danych osobowych przez bank, które to wycofanie zgody obejmowało: “używanie, przetwarzanie i archiwizowanie wszelkich naszych danych osobowych (…)”, bank nie miał podstaw prawnych do legalnego przetwarzania ich danych osobowych. Ostatecznie konto […] i […] wnioskodawców, zgodnie z ich żądaniem bank zamknął w dniu […] lipca 2019 r.

na marginesie Sąd wskazuje, iż z doświadczenia zawodowego i życiowego posiada wiedzę, iż każdy bank posiada wzory podpisów wszystkich swoich klientów, co jest warunkiem korzystania z różnego rodzaju produktów oferowanych przez ten podmiot. Bezpodstawne było zatem nieuwzględnienie (zignorowanie) przez bank skutków złożonego przez wnioskodawców oświadczenia (i sprzeciwu) z dnia […] maja 2019 r.

prawidłowo zatem organ uznał, że brak jest spełnienia wskazywanej przez bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania skarżonych danych osobowych. Przesłanka z art. 6 ust 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

w ocenie Sądu wskazana przez bank podstawa nie uzasadnia przetwarzania danych osobowych wnioskodawców, bowiem nie wystąpili oni z żadnym roszczeniem wobec banku. Tym samym przetwarzanie ich danych osobowych nie ma umocowania w przepisach prawa i nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez bank, a w szczególności podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi. Gdyby natomiast (hipotetycznie) wnioskodawcy wystąpili z roszczeniami do sądu powszechnego, musieliby podać wszystkie swoje dane osobowe, niezbędne do prowadzenia postępowania, określone w kodeksie postępowania cywilnego. Bank, jako hipotetyczny pozwany, miałby wtedy do nich pełny wgląd.

Mimo takiego poglądu administrator złożył skargę kasacyjną do NSA. Sąd ten oddalił skargę kasacyjną i wskazał, że:

Poprzez cel, dla osiągnięcia którego przetwarzanie danych osobowych jest niezbędne, należy rozumieć stan rzeczy, układ rzeczywistości, do którego dąży administrator poprzez to przetwarzanie. “Niezbędność” przetwarzania danych osobowych do osiągnięcia obranego przez administratora celu sprowadza się do ustalenia, że bez tego przetwarzania nie da się go zrealizować. Chodzi więc o wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a realizacją stanu rzeczy, do którego dąży administrator. Ustalenie “niezbędności” przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga od administratora wykazania, że jest to konieczne z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator będzie zobowiązany wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji – zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasada minimalizacji przetwarzanych danych (art. 5 ust. 1 lit. c RODO).

Kolejnym warunkiem przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest ustalenie, że cel, dla osiągnięcia którego przetwarzanie to jest niezbędne “wynika z prawnie uzasadnionych interesów realizowanych przez administratora (lub przez stronę trzecią)”. Desygnatami “prawnie uzasadnionych interesów administratora” nie są przy tym wyłącznie te interesy, które ściśle wiążą się z realizacją praw i obowiązków wynikających z przepisów prawa. Takie wąskie rozumienie tego pojęcia prowadziłoby bowiem do częściowego zdublowania przesłanki przetwarzania danych osobowych z art. 6 ust. 1 lit. f z przesłanką określoną w art. 6 ust. 1 lit. c RODO; art. 6 ust. 1 lit. c RODO legitymizuje przetwarzanie danych osobowych, jeżeli “jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”. Prawnie uzasadniony interes administratora należy więc rozumieć jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym.

Do prawnie uzasadnionych interesów administratora danych osobowych prawodawca unijny odwołał się w motywie 47 preambuły RODO, w którym stwierdził, że “[t]aki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu”.

Treść motywu 47 preambuły RODO nie wskazuje więc konkretnie, matrycowo, jakie warunki powinny zostać spełnione, aby można było stwierdzić, że administrator przetwarza dane osobowe zgodnie ze swoimi prawnie uzasadnionymi interesami. Podano jedynie przykładowo, iż może chodzić o szczególnego rodzaju relację pomiędzy administratorem a osobą, której dane są przetwarzane. W każdym konkretnym układzie należy rozstrzygnąć, czy treść i charakter tej relacji w sposób rozsądny uzasadnia takie przetwarzanie w określonym zakresie i czasie. Wyeksponować trzeba, że w motywie 47 prawodawca unijny w ogóle nie powiązał “prawnie uzasadnionych interesów” administratora z porządkiem prawnym. Akcent położył natomiast na charakter relacji łączącej administratora z osobą, której dane są przetwarzane, jej kontekstowość oraz wynikającą z jej indywidualnych uwarunkowań racjonalnie uzasadnioną potrzebę tego przetwarzania. Motyw 47 preambuły RODO w kontekście rekonstrukcji zakresu stosowania art. 6 ust. 1 lit. f RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Porządek prawny – w tej przestrzeni formułowania ocen – należy traktować jako granicę dopuszczalności prawnie uzasadnionego interesu administratora, na którym opiera przetwarzanie danych osobowych. Porządek prawny może więc być przeszkodą do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, jeżeli interesu administratora nie da się z nim pogodzić – interes administratora będzie sprzeczny z porządkiem prawnym, a więc nie będzie prawnie uzasadniony. Porządek prawny nie stanowi ścisłej podstawy uzasadnionego interesu administratora do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyznacza natomiast granicę tego przetwarzania.

W powyższym kontekście należy podnieść, iż w stanie faktycznym niniejszej sprawy jako podstawę przetwarzania danych osobowych wnioskodawców strona skarżąca kasacyjnie wskazywała zabezpieczenie swoich interesów w przypadku dochodzenia przez wnioskodawców ewentualnych roszczeń, podczas gdy nie zostało wykazane, by wnioskodawcy wystąpili wobec strony skarżącej kasacyjnie z jakimkolwiek roszczeniem. Nadto wnioskodawcy przestali być klientami banku wobec zamknięcia ich konta oszczędnościowego i technicznego z dniem 20 lipca 2019 r.

W odniesieniu do zarzutu naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 5 ust. 1, art. 6 i art. 9 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (t.j. Dz.U. z 2024 r., poz. 1109) należy podnieść, że powyższe regulacje nie mogą stanowić podstawy do nieograniczonego czasowo przetwarzania danych osobowych, szczególnie tych osób, które już nie są klientami banku. Gdyby inaczej odczytywać powyższe regulacje, prawo do bycia zapomnianym stanowiłoby fikcję. Nadto na taką podstawę przetwarzania danych osobowych administrator nie powoływał się w postępowaniu administracyjnym.

Nie jest zasadny także zarzut naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 33, 34 i 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2023 r., poz. 1124).

Na marginesie warto również podkreślić, że w toku postępowania administracyjnego skarżący kasacyjnie nie wskazał konkretnie, jakie regulacje prawne powyższej ustawy stanowią podstawę do przetwarzania danych osobowych wnioskodawców.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności