Dane osobowe osób pozostających na epidemicznej kwarantannie były przetwarzane na potrzeby przeciwdziałania rozsiewaniu zagrożenia. Czy to oznacza, że skoro osoba potencjalnie infekująca jest już „bezpieczna”, dalsze przetwarzanie jej danych jest zbyteczne? Czy zatem użytkownik aplikacji „Kwarantanna domowa” może wystąpić o usunięcie jego danych osobowych? Czy jednak rząd, licząc się z pretensjami i reklamacjami, nadal może przetwarzać zebrane dane — tym razem w celu odparcia ewentualnych roszczeń? (nieprawomocny wyrok WSA w Warszawie z 6 października 2022 r., II SA/Wa 3812/21)
Sprawa zaczęła się od żądania usunięcia danych osobowych użytkownika aplikacji „Kwarantanna domowa” (przebywał on na epidemicznej kwarantannie w grudniu 2020 r.). Minister Cyfryzacji odmówił spełnienia żądania: przetwarzanie danych jest nadal niezbędne, acz już w celu odpierania ewentualnych żądań użytkownika aplikacji — a więc dane będą dalej przetwarzane, aż do upływu terminu przedawnienia ewentualnych roszczeń (6 lat licząc od momentu dezaktywacji konta).
Skuteczna okazała się skarga do PUODO: cel przetwarzania danych w aplikacji „Kwarantanna domowa” określały przepisy — i chodziło o przeciwdziałanie zakażeniom COVID-19. Po zakończeniu kwarantanny uzasadnienie dla przetwarzania danych odpadło, zatem administrator powinien był dane usunąć; dalsze przetwarzanie danych w celu odparcia nieistniejących roszczeń oznacza przetwarzanie „na zapas”, a więc jest niedopuszczalne. Skoro więc administrator danych nie wykazał jakiejkolwiek podstawy prawnej (nie może być nią regulamin aplikacji) lub też postępowania, w którym dochodziłby roszczeń lub bronił się przed żądaniami skarżącego, nie istnieje jakakolwiek przesłanka pozwalająca dalej przetwarzać dane.
W wydanej decyzji organ nakazał usunięcie danych w zakresie „ID Obywatela — techniczny identyfikator Obywatela; imię; nazwisko; numer telefonu; deklarowany adres pobytu; lokalizacja, w tym deklarowana lokalizacja odbywania kwarantanny oraz lokalizacja wyznaczona przez system w czasie wykonywania zadania weryfikacji; data końca kwarantanny”.
art. 7e ust. 1 ustawy w/s COVID-19
Osoba podlegająca na podstawie przepisów o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi obowiązkowej kwarantannie w związku z podejrzeniem zakażenia wirusem SARS-CoV-2 instaluje na swoim urządzeniu mobilnym udostępnione przez ministra właściwego do spraw informatyzacji oprogramowanie służące do potwierdzania realizacji obowiązku przestrzegania kwarantanny oraz używa go do potwierdzania realizacji tego obowiązku.
art. 5 ust. 1 rozporządzenia 679/2016 o ochronie danych osobowych
Dane osobowe muszą być:
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (…) („ograniczenie celu”);
art. 9 ust. 2 lit. f) i i) RODO
[Zakaz przetwarzania „wrażliwych” danych osobowych] nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi (…)
W skardze na tę decyzję Minister Cyfryzacji podkreślił, że aktualnie przetwarza dane użytkownika tylko i wyłącznie na podstawie przepisów prawa — w tym kodeksu cywilnego o przedawnieniu roszczeń majątkowych, które mogą powstać w związku z korzystaniem z aplikacji. Roszczenia takie nie muszą aktualnie zaistnieć, wystarczające jest, że ktoś może z nimi wystąpić — a skoro użytkownik w skardze sugerował, że przetwarzanie było sprzeczne z prawem, to nie można wykluczać, że z roszczeniami wystąpi — a więc przetwarzanie jego danych nie ma charakteru nadmiarowego.
Odnosząc się do tych argumentów Wojewódzki Sąd Administracyjny zwrócił uwagę, że pandemia COVID-19 wymusiła użycie pewnych narzędzi w zakresie identyfikacji osób narażonych na zakażenie. W przypadku Polski była to mobilna aplikacja „Kwarantanna domowa”, w ramach której przetwarzanie danych miało podstawę w art. 9 ust. 2 lit. i) RODO; środki te mają charakter ekstraordynaryjny, zatem ich stosowanie powinno mieć charakter wąski. Biorąc zatem pod uwagę, że dopuszczalne jest wyłącznie przetwarzanie danych adekwatnych, stosownych i niezbędnych dla realizacji celu (zasada minimalizacji danych), a także wyłącznie w celu, w jakim dane zostały zebrane (zasada ograniczenia celu) — a Ministerstwo Cyfryzacji nie wykazało ani konkretnego zdarzenia, z którym wiąże możliwość powstania roszczeń, ani jakiegokolwiek postępowania służącego dochodzeniu roszczeń — zatem aktualnie brak jest podstaw do dalszego przetwarzania danych użytkownika (por. „Czy przetwarzanie danych osobowych w celu odparcia potencjalnych roszczeń klienta to przetwarzanie „na zapas”?”).
Minister Cyfryzacji przetwarza dane osobowe niejako „na zapas”, ponieważ nie wykazał na jakiej podstawie uznał przypuszczenie powstania roszczeń za uzasadnione, ani nie wykazał by obecnie toczyło się postępowanie, w którym Minister Cyfryzacji broni lub dochodzi roszczeń związanych z funkcjonowaniem aplikacji.
Sumarycznie oznacza to, że decyzja nakazująca usunięcie danych z aplikacji „Kwarantanna domowa” była prawidłowa, zatem dane użytkownika powinny zostać usunięte (Ten przepis nie pojawił się w uzasadnieniu wyroku, ale pamiętać trzeba, że brak niezbędności danych dla osiągnięcia celu jest wprost wskazana w art. 17 ust. 1 lit. a) RODO).
(Dla jasności: orzeczenie jest nieprawomocne, zostało zaskarżone — a NSA nakazał wstrzymanie wykonania decyzji, a to ze względu na ryzyko negatywnych i nieodwracalnych skutków, postanowienie NSA z 24 stycznia 2023 r., III OSK 32/23.)