A skoro kilka dni temu padło pytanie czy firmy muszą przez określony czas przechowywać dane klientów, o które później może zagadnąć skarbówka, dziś czas na kilka zdań o tym, czy archiwizacja wygasłych umów jest sprzeczna z RODO — czy jednak podmiot może przetwarzać dane osobowe ex-klientów? (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 17 stycznia 2023 r., II SA/Wa 633/22).
Sprawa zaczęła się od wycieku danych z serwera podmiotu prowadzącego archiwum umów zawartych z klientami dostawcy energii elektrycznej (brak prawidłowego zabezpieczenia serwera skończył się nieuprawnionym pobraniem 11 GB danych obejmujących m.in. imiona i nazwiska, adresy i numery PESEL odbiorców). Firma poinformowała o incydencie PUODO i wysłała do klientów zawiadomienia o ryzyku naruszenia jego praw i wolności — a jedna z klientek złożyła skargę na nieprawidłowości w przetwarzaniu jej danych osobowych.
Rozpatrując skargę PUODO uznał, że firma miała prawo przetwarzać dane związane z zawarciem i wykonaniem umowy o sprzedaż prądu. Skoro jednak umowa została rozwiązana (na marginesie: najprawdopodobniej chodzi o jakichś przekręciarzy, bo w toku sprawy kobieta pisała „zwróciłam się do biura Rzecznika Praw Obywatelskich i do biura Praw Konsumenta. I moja sprawa się zakończyła pozytywnie z czego jestem im bardzo wdzięczna”), to ten cel przetwarzania odpadł i od tego momentu nie było podstaw do dalszego przetwarzania.
Spółka nie mogła przy tym zlecić przetwarzania danych w celach archiwalnych, ponieważ przepis ten jest zarezerwowany dla realizacji interesu publicznego, natomiast do przetwarzania danych w celach statystycznych wystarczające jest dysponowanie zanonimizowanymi danymi zbiorczymi. Oceniając, iż przetwarzanie danych osobowych ex-klientów naruszało zasadę ograniczenia przechowywania, organ udzielił spółce kary upomnienia za bezprawne przetwarzanie danych po rozwiązaniu umowy (ale nie za sam wyciek).
art. 5 ust. 1 lit. e) RODO
Dane osobowe muszą być:
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
W skardze na tę decyzję spółka podkreśliła, że w toku postępowania nie uwzględniono, że skoro klientkę wiązała z nią umowa, to zaistniała podstawa do pozyskania danych. Wygaśnięcie umowy nie wyklucza natomiast przetwarzania danych osobowych ex-klientów aż do momentu przedawnienia roszczeń, zaś obowiązek dalszej retencji może także wynikać z innych regulacji.
Rozpatrując sprawę Wojewódzki Sąd Administracyjny stwierdził, iż wykonywanie zawartej umowy jest podstawą do przetwarzania danych osobowych klienta. Sporny jest pogląd, czy archiwizacja wygasłych umów narusza RODO — czy po rozwiązaniu umowy usługodawca może dalej przetwarzać dane ze względu na cele wynikające z prawnie uzasadnionego interesu jakim jest odparcie ewentualnych roszczeń (art. 6 ust. 1 lit. f) RODO) oraz ze względu na ustawowy obowiązek przechowywania niektórych danych (np. podatkowych), czyli niezbędność ze względu na wypełnienie obowiązku prawnego (art. 6 ust. 1 lit. c) RODO). Prawidłowe wykazanie istnienia tych przesłanek wyklucza zarówno zarzut bezprawnego przetwarzania danych osobowych, jak i może pozwolić na polemikę ze stwierdzeniem, że doszło do naruszenia zasady ograniczenia przechowywania — bo anonimizacja lub choćby pseudonimizacja danych może wykluczać osiągnięcie zakładanych celów.
Tymczasem w toku postępowania PUODO oparł się wyłącznie na twierdzeniach klientki i w ogóle nie zweryfikował kwestii związanych z treścią umowy, gładko przechodząc do wniosku, iż przyczyną ujawnienia danych osobom nieupoważnionym był brak usunięcia zbytecznych danych oraz ich dalsze przetwarzanie bez podstawy prawnej. Takie uchybienie w postępowaniu dowodowym uzasadnia uchylenie zaskarżonej decyzji.
Zamiast komentarza: PUODO rzeczywiście ma problem z przetwarzaniem danych po zakończeniu „bezpośredniej współpracy”, jego poglądy dość konsekwentnie temperują sądy administracyjne (por. „Czy pracodawca może przetwarzać dane kandydata do pracy po tym, jak odmówił mu zatrudnienia?” czy „Czy przetwarzanie danych osobowych w celu odparcia potencjalnych roszczeń klienta to przetwarzanie „na zapas”?”). Niemniej w tym przypadku nie można pomijać pewnego niuansu: podatnik ma z pewnością obowiązek zbierać dowody dokumentujące dokonane czynności (czyli faktury) — ale czy sama umowa też jest takim dowodem? Mnie się wydaje, że tak, bo przecież faktura „idzie za” umową, w dodatku są jeszcze inne okoliczności, które można wywieść/oprzeć na dokumencie umowy, ale chyba nie pozostaje nic innego jak czekać na ponowne stanowisko urzędu.