Ustawa z 1997 r. o ochronie danych osobowych zasługuje już wyłącznie na miano pomnika prawa, co jednak nie oznacza, że pewne tematy nie mogą być nadal ciekawe lub wręcz przydatne. Dziś zatem krótkie pytanie: co administrator może zrobić jeśli dostał żądanie usunięcia danych osobowych, ale chce mieć możliwość wykazania, że wcześniej zgoda była odebrana w sposób prawidłowy — więc się obawia, że usunięcie danych w całości spowoduje niemożliwość przedstawienia dowodu? (wyrok NSA z 27 marca 2018 r., I OSK 1459/16).
Orzeczenie wydano w następującym stanie faktycznym: kontrola przeprowadzona przez GIODO wykazała, że bank dopuścił się naruszenia przepisów o przetwarzaniu danych osobowych: zgoda na przetwarzanie danych osobowych była połączona ze zgodą na otrzymywanie elektronicznych informacji o statusie wniosku, zaś dane osób, które odwołały zgodę na przetwarzanie danych w celu przedstawienia oferty nie są usuwane, lecz bank przetwarzał je przez 10 lat w celu porównania z zakupionymi bazami. W decyzji stwierdzającej nieprawidłowości nakazano rozdzielenie zgody — bo wskutek łączenia zgód nie dochodzi do złożenia samodzielnego oświadczenia woli — oraz usunięcie danych osób, które tego zażądały.
Zdaniem banku nawet po odwołaniu zgody na przetwarzanie danych osobowych przysługiwało mu prawo dalszego ich przetwarzania w celu zapobiegania roszczeniom oraz w celu ochrony uzasadnionych interesów banku (art. 23 ust. 1 pkt 5 d. uoodo) — bo jeśli bank dane usunie w całości, to nigdy nie będzie mógł wykazać, że przetwarzanie miało miejsce na podstawie udzielonej zgody.
Skarga na decyzję trafiła do WSA, który podzielił ocenę GIODO, iż warunki złożenia oświadczenia o zgodzie na przetwarzanie danych osobowych naruszały wymogi określone przepisami prawa — bo zgoda łączona nie jest zgodą w rozumieniu przepisów ustawy o ochronie danych osobowych.
Nieskuteczna okazała się także skarga kasacyjna banku: owszem, administrator może przetwarzać dane osobowe jeśli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, ale prawidłowa wykładania przepisu nakazuje także dokonanie oceny, czy dla realizacji celu niezbędne jest przetwarzanie danych osobowych pomimo braku zgody.
Taki konflikt interesów zawsze wymaga wyważenia interesów administratora i osoby, której dane są przetwarzane, oczywiście z uwzględnieniem okoliczności konkretnej sprawy.
Zdaniem NSA dalsze przetwarzanie danych osobowych osób, które zgodę cofnęły, nie jest niezbędne dla obrony przed ewentualnymi roszczeniami — prawnie uzasadniony cel nie może bowiem usprawiedliwiać przetwarzania „na zapas”, z założeniem, że mogą być przydatne w przyszłości (choćby w postępowaniach sądowych).
Co więcej nakaz usunięcia danych dotyczy wyłącznie danych pozyskanych za pomocą formularzy — ale nie dotyczy usunięcia informacji odnoszących się do przesłanego odwołania zgody oraz realizacji dyspozycji osoby.
Bank nie może się także powołać na konieczność porównania danych w przypadku kupowania baz od zewnętrznych dostawców — wówczas należy bowiem wykonać obowiązki nałożone na administratorów, którzy przetwarzają dane uzyskane nie bezpośrednio od zainteresowanej osoby (art. 25 ust. 1 d. uoodo).
Słowem: przetwarzanie danych osobowych zebranych w celach marketingowych nie jest niezbędne dla wykazania, że podmiot usunął te dane na żądanie zainteresowanej osoby — czyli w przypadku otrzymania żądania dane należy usuwać — ale nie trzeba usuwać danych pochodzących z owych żądań.