Czy można przetwarzać dane osobowe po żądaniu ich usunięcia — w celu wykazania, że zgoda została wcześniej prawidłowo odebrana?

Ustawa z 1997 r. o ochronie danych osobowych zasługuje już wyłącznie na miano pomnika prawa, co jednak nie oznacza, że pewne tematy nie mogą być nadal ciekawe lub wręcz przydatne. Dziś zatem krótkie pytanie: co administrator może zrobić jeśli dostał żądanie usunięcia danych osobowych, ale chce mieć możliwość wykazania, że wcześniej zgoda była odebrana w sposób prawidłowy — więc się obawia, że usunięcie danych w całości spowoduje niemożliwość przedstawienia dowodu? (wyrok NSA z 27 marca 2018 r., I OSK 1459/16).

Orzeczenie wydano w następującym stanie faktycznym: kontrola przeprowadzona przez GIODO wykazała, że bank dopuścił się naruszenia przepisów o przetwarzaniu danych osobowych: zgoda na przetwarzanie danych osobowych była połączona ze zgodą na otrzymywanie elektronicznych informacji o statusie wniosku, zaś dane osób, które odwołały zgodę na przetwarzanie danych w celu przedstawienia oferty nie są usuwane, lecz bank przetwarzał je przez 10 lat w celu porównania z zakupionymi bazami. W decyzji stwierdzającej nieprawidłowości nakazano rozdzielenie zgody — bo wskutek łączenia zgód nie dochodzi do złożenia samodzielnego oświadczenia woli — oraz usunięcie danych osób, które tego zażądały.

Zdaniem banku nawet po odwołaniu zgody na przetwarzanie danych osobowych przysługiwało mu prawo dalszego ich przetwarzania w celu zapobiegania roszczeniom oraz w celu ochrony uzasadnionych interesów banku (art. 23 ust. 1 pkt 5 d. uoodo) — bo jeśli bank dane usunie w całości, to nigdy nie będzie mógł wykazać, że przetwarzanie miało miejsce na podstawie udzielonej zgody.

Skarga na decyzję trafiła do WSA, który podzielił ocenę GIODO, iż warunki złożenia oświadczenia o zgodzie na przetwarzanie danych osobowych naruszały wymogi określone przepisami prawa — bo zgoda łączona nie jest zgodą w rozumieniu przepisów ustawy o ochronie danych osobowych.

Nieskuteczna okazała się także skarga kasacyjna banku: owszem, administrator może przetwarzać dane osobowe jeśli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, ale prawidłowa wykładania przepisu nakazuje także dokonanie oceny, czy dla realizacji celu niezbędne jest przetwarzanie danych osobowych pomimo braku zgody.
Taki konflikt interesów zawsze wymaga wyważenia interesów administratora i osoby, której dane są przetwarzane, oczywiście z uwzględnieniem okoliczności konkretnej sprawy.

Zdaniem NSA dalsze przetwarzanie danych osobowych osób, które zgodę cofnęły, nie jest niezbędne dla obrony przed ewentualnymi roszczeniami — prawnie uzasadniony cel nie może bowiem usprawiedliwiać przetwarzania „na zapas”, z założeniem, że mogą być przydatne w przyszłości (choćby w postępowaniach sądowych).
Co więcej nakaz usunięcia danych dotyczy wyłącznie danych pozyskanych za pomocą formularzy — ale nie dotyczy usunięcia informacji odnoszących się do przesłanego odwołania zgody oraz realizacji dyspozycji osoby.
Bank nie może się także powołać na konieczność porównania danych w przypadku kupowania baz od zewnętrznych dostawców — wówczas należy bowiem wykonać obowiązki nałożone na administratorów, którzy przetwarzają dane uzyskane nie bezpośrednio od zainteresowanej osoby (art. 25 ust. 1 d. uoodo).

Słowem: przetwarzanie danych osobowych zebranych w celach marketingowych nie jest niezbędne dla wykazania, że podmiot usunął te dane na żądanie zainteresowanej osoby — czyli w przypadku otrzymania żądania dane należy usuwać — ale nie trzeba usuwać danych pochodzących z owych żądań.

18 comments for “Czy można przetwarzać dane osobowe po żądaniu ich usunięcia — w celu wykazania, że zgoda została wcześniej prawidłowo odebrana?

  1. 25 maja 2018 at 06:59

    Ja mam taki overkill: wszelkiego rodzaju „zapomnij”, „usuń” i temu podobne można realizować za pomocą jednostronnych skrótów (pseudoanimizacja). Jestem wtedy w stanie wykazać rozliczalność bez posiadania danych osobowych petenta.

    • pcs
      28 maja 2018 at 22:50

      Rozumiem, że chodzi o jednokierunkową funkcję skrótu. To jest bardzo ciekawy pomysł, już przez niektórych stosowany, ale mam wątpliwości czy to jest pseudonimizacja o którą autorom RODO chodziło.

      Bo definicję pseudonimizacji to spełnia, ale tożsamość osoby można ustalić dopiero przy udziale tej osoby. Ważniejsze jest jednak to, że dane spseudonimizowane są nadal danymi osobowymi (motyw 26). A w takim razie zastąpienie danych identyfikujących osobę wygenerowanym skrótem nie oznacza usunięcia danych.

      Być może jednak mamy do czynienia z anonimizacją, która może być odwrócona po dostarczeniu dodatkowych danych przez osobę…

      W każdym razie, jest to jeden z moich ulubionych przypadków, w których czekam na decyzje PUODO.

  2. Zeb
    25 maja 2018 at 08:01

    Na zakończenie cyklu proponuje temat: RODO vs SPAM. W sumie to chyba interesuje najwięcej z nas czy RODO poradzi sobie ze spamem. Dostaję od kilku dni masę maili z tytułem” „szanujemy twoja prywatność”. Jestem przekonany, że to tylko puste słowa, że mój sprzeciw nic nie wniesie, dalej będą mnie spamować. Pytanie tylko czy uzbrojony w RODO będę teraz miał więcej możliwości walczyć z tym zjawiskiem. Czy jak wyślę na adres e-mail spamera żądanie usunięcia moich danych i zaprzestanie spamowania, czy będzie to równie „skuteczne” jak do tej pory?

    • 25 maja 2018 at 08:36

      Zapewne zależy od spamera. Większość tych „prawdziwych” jest spoza UE i będzie miała gdzieś RODO

  3. Anonim
    25 maja 2018 at 11:15

    „Ustawa z 1997 r. o ochronie danych osobowych zasługuje już wyłącznie na miano pomnika prawa,” – minus te które NADAL obowiązują… patrz przepisy końcowe z ustawy uodo z 10 maja 2018

  4. Robal_pl
    25 maja 2018 at 12:04

    A jak ma się RODO do dawania ( i przyjmowania !) wizytówek ????

    • Olgierd Rudak
      25 maja 2018 at 12:22

      Należy się nimi wymieniać obustronnie, przy czym:

      • na odwrocie dającego wizytówkę należy nanieść klauzulę o zgodzie na przetwarzanie danych osobowych,
      • osoba odwzajemniająca się wizytówką powinna podkleić informację o przetwarzaniu danych osobowych.

      Ale skoro dajemy i odbieramy, to należy mieć dwa komplety wizytówek (i naprzemiennie wymienić się oboma wersjami) — raz jako dający, raz jako przyjmujący.

      • pcs
        28 maja 2018 at 22:34

        Ale dlaczego zgodzie? Ja zbieram dane w celu marketingu (kiedyś własnych usług, teraz bezpośredniego) albo w celu zawarcia umowy. I dokładnie tak robię od lat i myślałem, że tylko ja na to wpadłem :) Sporo wizytówek rozdałem tylko dlatego, że ludzie chcieli to na własne oczy zobaczyć. Tylko, że RODO wymaga podania nieco większej ilości informacji i chyba będę musiał dawać wizytówki A4…

  5. Robal_pl
    25 maja 2018 at 12:28

    Serio ? Bo pytanie jest poważne. A jak masz pół szuflady wizytówek w służbowym biurku to albo do niszczarki albo wysłać każdemu informację o przetwarzaniu danych osobowych, nie ?

    • Olgierd Rudak
      25 maja 2018 at 12:51

      O ile nie ukradłeś tych wizytówek, a przekazał ją ktoś, kto wie o co chodzi, to nie ma potrzeby, bo art. 13 ust. 4 RODO zwalnia nas z obowiązku informacyjnego jeśli „osoba, której dane dotyczą, dysponuje już tymi informacjami” (czyli wie komu i po co ją wręczał).

      A jeśli wizytówki zbiorczo były rozdawane na spotkaniu (czyli dostałeś 20 różnych wizytówek od jednej osoby), to raczej też nie, pod warunkiem, że ten człowiek wiedział, co robi, bo zgodnie z art. 14 ust. 5 lit. a RODO nie ma takiego obowiązku jeśli „osoba, której dane dotyczą, dysponuje już tymi informacjami”.

      PS dziwne, że pytasz o to dopiero dziś, bo właściwie należałoby sobie te pytania zadawać 20 lat temu (nb. ludzie je sobie zadawali).

      • robal_pl
        25 maja 2018 at 17:47

        Udziela mi się RODO histeria :)
        Generalnie nie mam z tym problemu jako osoba prywatna.

      • pcs
        28 maja 2018 at 22:32

        Może wie komu dane udostępnił, ale może nie wiedzieć jakie prawa mu przysługują…

    • Olgierd Rudak
      25 maja 2018 at 14:18

      Z drugiej strony jeśli te wizytówki są wywalone na kupkę, to nie masz zbioru („uporządkowany zestaw danych osobowych”), a jak nie masz zbioru, to RODO nie ma zastosowania („ma zastosowanie do przetwarzania danych osobowych (…) stanowiących część zbioru danych lub mających stanowić część zbioru danych”).

      • Mike
        26 maja 2018 at 21:10

        czyli wizytówki na kupce nie, a czy wizytówki w wizytowniku już są zbiorem uporządkowanym?

        • Olgierd Rudak
          27 maja 2018 at 20:32

          Tak jakby (ale większej logiki bym się w tym nie doszukiwał)

      • pcs
        29 maja 2018 at 00:27

        Tylko, że do tej pory sądy twierdziły, że jeżeli coś może się w zbiorze znaleźć, to będzie objęte ochroną danych osobowych, bez względu na to, czy się w tym zbiorze ostatecznie znalazło.
        W RODO mamy nieco problemów z „mających stanowić część zbioru”. Bo ja rozumiałem, że powinniśmy ustalić czy celem zbierania danych jest ich dodanie do zbioru. Ale, o ile dobrze pamiętam w komentarzu, można się spotkać z opinią, że powinniśmy rozumieć to tak jak do tej pory, czyli „mających”=”mogących”. Co pewien sens ma, bo uwalnia nas od zastanawiania się, czy te wywalone na kupkę wizytówki to jednak wg jakiegoś kryterium nie są dostępne. A gdy jeszcze do którejś osoby zadzwonię albo maila wyślę, czyli przetworzę jej dane w sposób zautomatyzowany to nie będzie miało znaczenia, czy dane w zbiorze się znajdują, mogą znaleźć albo mają znaleźć.

        • Olgierd Rudak
          29 maja 2018 at 08:43

          Niemniej uważam, że tak czy inaczej rozważania o zbieraniu papierkowych karteluszków w kontekście RODO to — sympatyczne acz niepraktyczne — ćwiczenie intelektualne.

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.