Czy można przetwarzać dane osobowe po żądaniu ich usunięcia — w celu wykazania, że zgoda została wcześniej prawidłowo odebrana?

Ustawa z 1997 r. o ochronie danych osobowych zasługuje już wyłącznie na miano pomnika prawa, co jednak nie oznacza, że pewne tematy nie mogą być nadal ciekawe lub wręcz przydatne. Dziś zatem krótkie pytanie: co administrator może zrobić jeśli dostał żądanie usunięcia danych osobowych, ale chce mieć możliwość wykazania, że wcześniej zgoda była odebrana w sposób prawidłowy — więc się obawia, że usunięcie danych w całości spowoduje niemożliwość przedstawienia dowodu? (wyrok NSA z 27 marca 2018 r., I OSK 1459/16).

Orzeczenie wydano w następującym stanie faktycznym: kontrola przeprowadzona przez GIODO wykazała, że bank dopuścił się naruszenia przepisów o przetwarzaniu danych osobowych: zgoda na przetwarzanie danych osobowych była połączona ze zgodą na otrzymywanie elektronicznych informacji o statusie wniosku, zaś dane osób, które odwołały zgodę na przetwarzanie danych w celu przedstawienia oferty nie są usuwane, lecz bank przetwarzał je przez 10 lat w celu porównania z zakupionymi bazami. W decyzji stwierdzającej nieprawidłowości nakazano rozdzielenie zgody — bo wskutek łączenia zgód nie dochodzi do złożenia samodzielnego oświadczenia woli — oraz usunięcie danych osób, które tego zażądały.

Zdaniem banku nawet po odwołaniu zgody na przetwarzanie danych osobowych przysługiwało mu prawo dalszego ich przetwarzania w celu zapobiegania roszczeniom oraz w celu ochrony uzasadnionych interesów banku (art. 23 ust. 1 pkt 5 d. uoodo) — bo jeśli bank dane usunie w całości, to nigdy nie będzie mógł wykazać, że przetwarzanie miało miejsce na podstawie udzielonej zgody.

Skarga na decyzję trafiła do WSA, który podzielił ocenę GIODO, iż warunki złożenia oświadczenia o zgodzie na przetwarzanie danych osobowych naruszały wymogi określone przepisami prawa — bo zgoda łączona nie jest zgodą w rozumieniu przepisów ustawy o ochronie danych osobowych.

Nieskuteczna okazała się także skarga kasacyjna banku: owszem, administrator może przetwarzać dane osobowe jeśli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, ale prawidłowa wykładania przepisu nakazuje także dokonanie oceny, czy dla realizacji celu niezbędne jest przetwarzanie danych osobowych pomimo braku zgody.
Taki konflikt interesów zawsze wymaga wyważenia interesów administratora i osoby, której dane są przetwarzane, oczywiście z uwzględnieniem okoliczności konkretnej sprawy.

Zdaniem NSA dalsze przetwarzanie danych osobowych osób, które zgodę cofnęły, nie jest niezbędne dla obrony przed ewentualnymi roszczeniami — prawnie uzasadniony cel nie może bowiem usprawiedliwiać przetwarzania „na zapas”, z założeniem, że mogą być przydatne w przyszłości (choćby w postępowaniach sądowych).
Co więcej nakaz usunięcia danych dotyczy wyłącznie danych pozyskanych za pomocą formularzy — ale nie dotyczy usunięcia informacji odnoszących się do przesłanego odwołania zgody oraz realizacji dyspozycji osoby.
Bank nie może się także powołać na konieczność porównania danych w przypadku kupowania baz od zewnętrznych dostawców — wówczas należy bowiem wykonać obowiązki nałożone na administratorów, którzy przetwarzają dane uzyskane nie bezpośrednio od zainteresowanej osoby (art. 25 ust. 1 d. uoodo).

Słowem: przetwarzanie danych osobowych zebranych w celach marketingowych nie jest niezbędne dla wykazania, że podmiot usunął te dane na żądanie zainteresowanej osoby — czyli w przypadku otrzymania żądania dane należy usuwać — ale nie trzeba usuwać danych pochodzących z owych żądań.

18
Dodaj komentarz

avatar
5 Comment threads
13 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
Jan Bartnik
Gość

Ja mam taki overkill: wszelkiego rodzaju „zapomnij”, „usuń” i temu podobne można realizować za pomocą jednostronnych skrótów (pseudoanimizacja). Jestem wtedy w stanie wykazać rozliczalność bez posiadania danych osobowych petenta.

pcs
Gość
pcs

Rozumiem, że chodzi o jednokierunkową funkcję skrótu. To jest bardzo ciekawy pomysł, już przez niektórych stosowany, ale mam wątpliwości czy to jest pseudonimizacja o którą autorom RODO chodziło. Bo definicję pseudonimizacji to spełnia, ale tożsamość osoby można ustalić dopiero przy udziale tej osoby. Ważniejsze jest jednak to, że dane spseudonimizowane są nadal danymi osobowymi (motyw 26). A w takim razie zastąpienie danych identyfikujących osobę wygenerowanym skrótem nie oznacza usunięcia danych. Być może jednak mamy do czynienia z anonimizacją, która może być odwrócona po dostarczeniu dodatkowych danych przez osobę… W każdym razie, jest to jeden z moich ulubionych przypadków, w których… Czytaj więcej »

Zeb
Gość
Zeb

Na zakończenie cyklu proponuje temat: RODO vs SPAM. W sumie to chyba interesuje najwięcej z nas czy RODO poradzi sobie ze spamem. Dostaję od kilku dni masę maili z tytułem” „szanujemy twoja prywatność”. Jestem przekonany, że to tylko puste słowa, że mój sprzeciw nic nie wniesie, dalej będą mnie spamować. Pytanie tylko czy uzbrojony w RODO będę teraz miał więcej możliwości walczyć z tym zjawiskiem. Czy jak wyślę na adres e-mail spamera żądanie usunięcia moich danych i zaprzestanie spamowania, czy będzie to równie „skuteczne” jak do tej pory?

Jan Bartnik
Gość

Zapewne zależy od spamera. Większość tych „prawdziwych” jest spoza UE i będzie miała gdzieś RODO

Anonimowo
Gość
Anonimowo

„Ustawa z 1997 r. o ochronie danych osobowych zasługuje już wyłącznie na miano pomnika prawa,” – minus te które NADAL obowiązują… patrz przepisy końcowe z ustawy uodo z 10 maja 2018

Robal_pl
Gość
Robal_pl

A jak ma się RODO do dawania ( i przyjmowania !) wizytówek ????

Robal_pl
Gość
Robal_pl

Serio ? Bo pytanie jest poważne. A jak masz pół szuflady wizytówek w służbowym biurku to albo do niszczarki albo wysłać każdemu informację o przetwarzaniu danych osobowych, nie ?