WSA: przetwarzanie danych „na wypadek roszczeń” do ponownej analizy
Sprawa rozpoczęła się od tego, że pewien przedsiębiorca otrzymywał wiele telefonów marketingowych od różnych firm, które wskazywały jedno źródło jego danych – spółkę, która była adresatem decyzji organu nadzorczego.
Przedsiębiorca zwrócił się do tej spółki z żądaniami “zaprzestania przetwarzania, przekazywania i usunięcia moich danych osobowych przez firmę […] Sp. z o.o. Skorzystałem też z prawa do bycia zapomnianym”.
Spółka wskazała, że usunęła przedmiotowe dane osobowe z własnej bazy, a dane te – wcześniej – udostępniła sześciu wskazanym w odpowiedzi podmiotom, które stanowią odrębnych administratorów danych.
Nadto Spółka pozyskała dane osobowe wnioskodawcy w dniu […] września 2019 r. z Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Zakres pozyskanych przez Spółkę danych osobowych wnioskodawcy był następujący: imię i nazwisko, firma przedsiębiorcy, adres rejestrowy, numery i dane rejestrowe (w szczególności numer NIR, adres e – mail, RKD, data założenia działalności gospodarczej, numer telefonu wnioskodawcy – pismo Spółki z dnia […] lutego 2023 r. do UODO – w aktach sprawy.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Dane osobowe wnioskodawcy zostały przez Spółkę pozyskane w celu dostarczania jej klientom kompleksowej informacji w ramach oferowanych przez nią produktów, które przede wszystkim przyczyniają się do zwiększenia stabilności i bezpieczeństwa obrotu gospodarczego, co mieści się w zakresie działalności gospodarczej Spółki.
Zgodnie z oświadczeniem Spółki, prawnie uzasadnione interesy Spółki polegają na oferowaniu klientom Spółki produktów […]. Przetwarzanie danych osobowych przedsiębiorców, w tym danych osobowych wnioskodawcy, jest natomiast niezbędne do tworzenia i dostarczania klientom takich produktów.
Aktualnie Spółka przetwarza dane wnioskodawcy wyłącznie w celu: weryfikacji i deduplikacji danych osobowych, jak również obrony roszczeń – pismo Spółki z dnia […] lutego 2023 r. do UODO – w aktach sprawy.
Zgodnie z oświadczeniem Spółki, aktualnie Spółka nie wywodzi wobec wnioskodawcy żadnych roszczeń, a wnioskodawca – poza roszczeniami dochodzonymi w niniejszym postępowaniu administracyjnym o sygn. […], prowadzonym przed Prezesem UODO – także nie wywodzi wobec Spółki innych roszczeń – pismo Spółki z dnia […] lutego 2024 r. do UODO – w aktach sprawy.
Mając taką wiedzę Prezes UODO wydał w kwietniu 2024 r. decyzję, w której:
po przeprowadzeniu postępowania administracyjnego w sprawie skargi E. D., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] Sp. z o.o. z siedzibą w […], polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej, w tym udostępnianiu ich podmiotom trzecim oraz na niespełnieniu żądania w zakresie usunięcia tych danych, w pkt. 1 nakazał […] Sp. z o.o. z siedzibą w […], zaprzestanie przetwarzania danych osobowych E. D., w celu ochrony przed ewentualnymi roszczeniami z jego strony, w pkt. 2 w pozostałym zakresie odmówił uwzględnienia wniosku
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
W tej decyzji Prezes UODO potwierdził, że:
w przedmiotowych okolicznościach przetwarzanie jawnych danych osobowych dotyczących działalności gospodarczej widniejących w publicznych rejestrach i udostępnianie informacji na potrzeby obrotu prawnego znajduje oparcie w art. 6 ust. 1 lit. f RODO i stanowi przetwarzanie danych osobowych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Spółkę jako ich administratora, o których mowa w tym przepisie;
Wyżej określone cele Spółki mają bez wątpienia usprawiedliwiony charakter, ich realizacja jest uwarunkowana przetwarzaniem danych osobowych ujawnionych w publicznie dostępnych rejestrach, w tym danych wnioskodawcy, jako osoby prowadzącej działalność gospodarczą;
z materiału dowodowego niniejszej sprawy nie wynika, by wnioskodawca zgłaszał wobec Spółki jakiekolwiek roszczenia, brak jest również roszczeń Spółki wobec wnioskodawcy. Art. 6 ust. 1 lit. f RODO nie może stanowić podstawy do przetwarzania danych osobowych w celu zabezpieczenia przed ewentualnymi, przyszłymi i niepewnymi roszczeniami. W ocenie Prezesa UODO aktualny proces przetwarzania danych osobowych wnioskodawcy przez Spółkę w celu ochrony przed ewentualnymi roszczeniami ze strony wnioskodawcy jest niezgodny z przepisami o ochronie danych osobowych, bowiem przetwarzanie danych w celu nieistniejących przyszłych roszczeń nie ma oparcia w art. 6 ust. 1 lit. f RODO. Dlatego też zasadne było nakazanie Spółce zaprzestania ich przetwarzania w tym celu. Art. 17 ust. 3 lit. e RODO odnosi się bowiem do roszczeń istniejących, a nie przyszłych i niepewnych.
Sąd jednak uchylając decyzję w pkt 1 wskazał, że:
W tych okolicznościach faktycznych Prezes UODO, rozstrzygnięcie w punkcie 1 decyzji, tj. nakaz zaprzestania przetwarzania przez Spółkę danych uczestnika w celu ochrony przed ewentualnymi roszczeniami z jego strony, uzasadnił stwierdzeniem, że z materiału dowodowego niniejszej sprawy nie wynika, by uczestnik zgłaszał wobec Spółki jakiekolwiek roszczenia, brak jest również roszczeń Spółki wobec uczestnika. Wobec powyższego, w sprawie brak jest podstaw prawnych do przetwarzania danych osobowych uczestnika przez Spółkę w celu zabezpieczenia przed ewentualnymi, przyszłymi i niepewnymi roszczeniami. Organ stwierdził, że podstawy tej nie może w szczególności stanowić art. 6 ust. 1 lit. f RODO.
W świetle powyższego, odnosząc się do rozpoznawanej sprawy, raz jeszcze wskazania wymaga, że przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO powinno być niezbędne dla realizacji celu wynikającego z prawnie uzasadnionych interesów administratora, a te należy ustalać z uwzględnieniem charakter i kontekstu relacji łączącej administratora z osobą, której dane osobowe są przetwarzane. Jeżeli łącząca te dwa podmioty relacja zawiera w sobie prawnie dopuszczalne roszczenie, które może być dochodzone na drodze sądowej, to nie można z góry wyłączyć dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyłącznie z uwagi na potencjalność realizacji tego roszczenia. Jeśli zaś układ okoliczności faktycznych wskazuje na brak roszczeń stron względem siebie, to należy przyjąć, iż nie dojdzie do nawiązania “nowej relacji” między nimi (np. postępowania sądowego) i nie jest w takiej sytuacji dopuszczalne dalsze przetwarzanie danych osobowych na tej podstawie.
Rozpatrując sprawę ponownie organ uwzględni przedstawioną wyżej ocenę prawną. Organ podda analizie i oceni, czy przetwarzanie przez Spółkę danych osobowych uczestnika postępowania – w okolicznościach faktycznych tej sprawy – w celu ochrony przed ewentualnymi roszczeniami znajduje podstawę prawną w art. 6 ust. 1 lit. f RODO, czy też nie.
Raz jeszcze odwołując się do przedstawionych już wyżej poglądów Naczelnego Sądu Administracyjnego wskazać należy, że kwantyfikatorem rozstrzygającym o dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest charakter relacji istniejącej pomiędzy administratorem danych osobowych, a osobą, której dane podlegają przetwarzaniu.
Jeżeli z charakteru tej relacji da się racjonalnie wywieść, że przetwarzanie danych osobowych jest niezbędne do zrealizowania przez administratora celu wynikającego z tej relacji i jest to cel przez prawo dopuszczony, to zastosowanie art. 6 ust. 1 lit. f RODO będzie uzasadnione, chyba że interesy lub podstawowe prawa i wolności osoby, której przetwarzane dane dotyczą będą nadrzędne wobec interesu administratora.