Czy podmiot przetwarzający może być adresatem decyzji nakazującej usunięcie danych osobowych?

przez

Czy firma windykująca dług na zlecenie wierzyciela może przetwarzać dane dłużnika, choć dług jest już przedawniony? Czy dopuszczalne jest przetwarzanie w celu obrony przed ewentualnymi roszczeniami, czy zgoła jest to przetwarzanie na zapas? Czy podmiot przetwarzający może być adresatem decyzji PUODO nakazującej usunięcie danych osobowych? (wyrok Naczelnego Sądu Administracyjnego z 29 lipca 2025 r., III OSK 132/22).

Montjovet
Chiesa di San Rocco e della Natività della BVM, Montjovet (fot. Olgierd Rudak, CC BY-SA 4.0)

opis stanu faktycznego:

  • sprawa zaczęła się od wniesienia do PUODO skargi na przetwarzanie danych osobowych przez firmę windykacyjną, która odkupiła dług od pierwotnego wierzyciela, następnie go sprzedała (pozostawione w uzasadnieniu okruszki pozwalają przypuszczać, że podmiotowi powiązanemu), aby prowadzić działania windykacyjne na rzecz wierzyciela;
  • zdaniem skarżącego po pierwsze nie udzielił zgody na cesję wierzytelności i na przetwarzanie jego danych przez windykatora, a po drugie sam dług był już przedawniony, zatem zażądał ich usunięcia i zaprzestania telefonowania;
  • w toku postępowania spółka podkreśliła, że przedawnienie roszczeń nie oznacza jego wygaśnięcia: taki dług nadal istnieje, acz dłużnik może skutecznie uchylić się od jego spłaty, przeto wierzyciel ma prawo przetwarzać dane dłużnika;
  • tak czy inaczej firma wskazała, iż aktualnie dane te przetwarza wyłącznie w celu ewentualnego ustalenia, dochodzenia lub obrony przed możliwymi roszczeniami (co jest przecież o tyle absurdalne, że do tego nie potrzeba dzwonić do człowieka);

art. 17 ust. 1 i 3 RODO
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; [ …]
3. [Prawo do bycia zapomnianym] nie ma zastosowania, w zakresie w jakim przetwarzanie jest niezbędne: […]
e) do ustalenia, dochodzenia lub obrony roszczeń.

art. 58 ust. 2 lit. c RODO
Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

  • w wydanej decyzji urząd uznał, że wierzyciel ma uzasadniony interes w przetwarzaniu danych osobowych dłużnika, jednakże dopóty, dopóki swych roszczeń dochodzi lub broni się przed roszczeniami istniejącymi; nie można natomiast przetwarzać danych w celu obrony przed ewentualnymi — przyszłymi i niepewnymi — roszczeniami; przeciwna wykładnia oznaczałaby, że administrator miałby możliwość permanentnego przechowywania danych, co jest oczywiście sprzeczne z RODO;
  • oznacza to, że dane są przetwarzane nadmiarowo, zatem podlegają usunięciu;

wyrok WSA:

  • ten pogląd został podtrzymany przez sąd administracyjny: skoro windykacja została zakończona, zaś ze strony „byłego” dłużnika nie ma żadnych roszczeń, to spółka nie ma prawa dłużej przetwarzać jego danych osobowych;
  • nie można wszakże pomijać, iż zgodnie art. 6 ust. 1 lit f RODO nie jest wystarczający sam prawnie uzasadniony interes: konieczne jest także wykazanie niezbędności przetwarzania, tj. bezpośredniego związku pomiędzy przetwarzaniem a realizacją interesów administratora;
  • stwierdzając, iż przetwarzanie w celu zabezpieczenia się przed roszczeniem ewentualnym to przetwarzanie „na zapas”, WSA oddalił skargę na decyzję organu (wyrok WSA w Warszawie z 29 lipca 2021 r., II SA/Wa 1725/20);

skarga kasacyjna:

  • w skardze kasacyjnej spółka podkreśliła, że jako firma windykacyjna może być traktowana co najwyżej jako podmiot przetwarzający dane powierzone przez wierzyciela, zatem nie mogła być ani stroną postępowania, ani adresatem decyzji nakazującej usunięcie danych osobowych;
  • wszakże adresatem żądania wynikającego z prawa do bycia zapomnianym może być tylko administrator danych osobowych, a więc adresatem decyzji PUODO nakazującej usunięcie danych nie może być podmiot przetwarzający;
  • co oznacza, że decyzja była nieważna z mocy prawa i niewykonalna, którą to okoliczność WSA powinien był stwierdzić z urzędu;

wyrok NSA:

  • po pierwsze firma windykacyjna wprost wskazała, że przetwarza dane osobowe w celu ochrony własnych interesów przed roszczeniami ex-dłużnika — co oznacza, że sama przyznała sobie status administratora danych;
  • po drugie prawo wyraźnie mówi, iż organ nadzorczy jest uprawniony do nakazania spełnienia żądań wynikającego z RODO także podmiotowi przetwarzającemu — a więc procesor danych może być adresatem decyzji PUODO;
  • a skoro jednym z takich żądań jest prawo do bycia zapomnianym — to niezależnie od statusu firmy windykacyjnej w sprawie, decyzja była prawidłowa, zatem skarga kasacyjna podlega oddaleniu.

Zamiast komentarza: w sumie w sprawie dostrzegam podwójne dno. Raz, że przedawniony dług nadal istnieje i dłużnik nadal ma obowiązek go zapłacić; ba, względy słuszności mogą przemawiać za nieuwzględnieniem zarzutu przedawnienia przedstawionego przez konsumenta (art. 117(1) par. 1 kc). Skoro tak, to wypadałoby, by wierzyciel przechowywał te dane, bo jak dostanie pieniądze, będzie mógł wpłatę przypisać gdzie trzeba.
Dwa, że nadal dziwię się, że PUODO (i NSA!) nie dostrzegają faktu, że roszczenia ex-dłużnika, wynikające choćby z ochrony dóbr osobistych, mają swoje terminy przedawnienia i nic nie stoi na przeszkodzie dochodzić ich najpóźniej jak się da (a nawet jeszcze później). Zatem biorąc pod uwagę zaprezentowaną wykładnię wierzyciel czy windykator (jak też każda inna firma, bo to dotyczy nie tylko windykacji przedawnionych długów) traci możliwość realnej obrony.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

2 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
2
0
komentarze są tam :-)x