WSA o wewnętrznych celach administracyjnych i prawnie uzasadnionym interesie

W tym orzeczeniu WSA w Warszawie odnajdujemy bardzo cenny i praktyczny pogląd Sąd w zakresie pozyskiwania danych osobowych, od innej spółki z grupy podmiotów administratora, w celu udzielenie odpowiedzi na żądanie Prezesa UODO.

Orzeczenie Sąd jak i skarżona decyzja Prezesa UODO przynoszą bardzo istotne informacje w zakresie:

  • pozyskiwania danych osobowych od innego administratora
  • wykładni prawnie uzasadnionego interesu
  • możliwości przetwarzania danych osobowych w celu obrony przed roszczeniami, które jeszcze nie istnieją

Zaczynając od opisu stanu faktycznego warto wskazać, że “podmiot” danych dwukrotnie zwrócił się do Spółki z żądaniem zaprzestania przetwarzania jego danych.

Żądanie to nie zostało spełnione, a administrator polecił osobie kontakt z zewnętrzną firmą w celu udzielenia odpowiedzi na jego żądanie.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram

Na tym etapie spółka stwierdziła, że:

nie jest w stanie ustalić jego tożsamości i poprosiła o przesłanie skanu dowodu osobistego. W związku z tym, że skarżący kontaktuje się ze Spółką poprzez ten sam adres email na który zostało zarejestrowane konto w serwisie G. uważa on, że to powinno być wystarczające do ustalenia jego tożsamości.

Prezes Urzędu Ochrony Danych Osobowych w sierpniu 2021 r. wydał decyzję administracyjną na mocy której udzielił Spółce upomnienia w związku z naruszeniem art. 5 ust. 1 lit. a w zw. z art. 6 ust. 1  RODO polegającym na bezpodstawnym pozyskaniu od G. […] z siedzibą w […] i dalszym przetwarzaniu danych osobowych Pana M. B. oraz nakazał usunięcia danych osobowych Pana M. B. bezpodstawnie pozyskanych od G. […] z siedzibą w [….].

Powyższa decyzja była podyktowana ustaleniami stanu faktycznego tj. wskazaniem przez Spółkę, że:

dane osobowe skarżącego pozyskała […] lipca 2015 r. bezpośrednio od skarżącego w celu realizacji umowy zakupu pomiędzy skarżącym a Spółką zgodnie z art. 6 ust. 1 lit. b RODO.

uzyskane dane posłużyły utworzeniu konta dla skarżącego, pozwalając mu tym samym na dokonywanie zakupów zgodnie z wymogami. Kategorie przetwarzanych przez Spółkę danych osobowych Skarżącego obejmują: imię i nazwisko, adres mailowy, adres zamieszkania, numer identyfikacyjny użytkownika oraz informacje związane z dokonana transakcją;

skarżący skontaktował się ze Spółką 22 lipca 2018 r. w kwestii przetwarzania jego danych osobowych, kiedy to zażądał od Spółki ich usunięcia. Spółka wykorzystuje usługi firmy zewnętrznej O. jako techniczne wsparcie do rozpatrywania tego typu żądań. Spółka odpowiedziała na żądanie Skarżącego 30 lipca 2018 r., prosząc o dokument umożliwiający weryfikację jego tożsamości. Prośba ta była zgodna z ówczesnymi procedurami Spółki. Skarżący nie przedstawił żadnego dokumentu tożsamości. Od tego czasu Spółka zmieniła swoje procedury i nie wymaga już dokumentu umożliwiającego weryfikację tożsamości. W chwili obecnej wymagana jest weryfikacja adresu mailowego klienta.

Spółka nadal przetwarza dane osobowe skarżącego. Podstawą prawną przetwarzania owych danych osobowych jest konieczność wywiązania się Spółki z umowy ze skarżącym zgodnie z art. 6 ust. 1 lit. b) rozporządzenia 2016/679, jak również prawny obowiązek dokumentacji transakcji finansowych zgodnie z art. 6 ust. 1 lit. c) rozporządzenia 2016/679.

pomiędzy Spółką a G. […], nie istnieje relacja w zakresie przetwarzania danych osobowych Skarżącego, ponieważ Spółka nie przetwarza i nie przetwarzała w przeszłości danych osobowych skarżącego w żadnym innym celu niż prowadzanie postępowania w niniejszej sprawie.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
24.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Wojewódzki Sąd Administracyjny wskazał, że stanowisko Prezesa UODO odnoszące się do przetwarzania danych w oparciu o prawnie uzasadniony interes jest nieprawidłowe.

Sąd poniósł, że:

Prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem. Owa zgodność z prawem stanowi ograniczenie pojęcia interesu administratora lub strony trzeciej jako potencjalnej podstawy do przetwarzania danych osobowych.

Tak rozumiany prawnie uzasadniony interes musi być realizowany przez administratora lub przez stronę trzecią. Podkreślić przy tym trzeba, że może to być interes nie tylko administratora, który przetwarza już dane osobowe, lecz również administratora, któremu dane te mogą dopiero zostać ujawnione.

Pojęcie niezbędności oznacza z kolei, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne, a więc musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.

W ocenie Sądu, nie sposób uznać, aby przesłanka z art. 6 ust. 1 lit. f RODO dotyczyła sytuacji wyłącznie już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, albowiem obejmuje ona również sytuacje, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem mogącymi powstać w przyszłości.

Zgodnie z art. 118 Kodeksu cywilnego, jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia roszczeń wynosi 6 lat, a dla roszczeń o świadczenie okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – 3 lata. Koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego, chyba że termin przedawnienia jest krótszy niż 2 lata. Przy czym, po upływie terminu przedawnienia roszczeń nie będzie można mówić już o uzasadnionym interesie do dalszego przetwarzania danych osobowych skarżącej na tej podstawie. Na obecnym etapie jest, to jednak jak najbardziej uzasadnione.

Prawodawca unijny nie odnosi się przy tym do kategorii danych, a kładzie nacisk na wskazanie celów przetwarzania (“wewnętrznych celów administracyjnych”). Tym bardziej pozyskanie danych przez Spółkę, na wyraźne zobowiązanie Prezesa UODO, należy uznać za działanie mieszczące się w dyspozycji art. 6 ust. 1 lit. f RODO.