Przesłankami legalności przetwarzania danych osobowych przez Administratora są istnienie celu przetwarzania danych osobowych oraz istnienie co najmniej jednej podstawy prawnej przetwarzania, określonej w przepisach RODO. Po upływie okresu, przez który dane osobowe mogą być przetwarzane, dane należy usunąć. Okres ten wyznaczany jest przez cel przetwarzania albo przepis prawa. Może się jednak zdarzyć, że po zakończeniu przetwarzania w jednym celu i na jednej podstawie prawnej, dane będą niezbędne administratorowi jeszcze w innym celu. Wówczas może on nie usuwać danych, jeżeli istnieje inna podstawa prawna, na której można oprzeć dalsze przetwarzanie danych.
Przetwarzanie danych na wypadek procesu
Powszechną praktyką wśród administratorów jest przetwarzanie danych osobowych aż do upływu okresu przedawnienia roszczenia, które może być potencjalnie wysunięte przeciwko administratorowi przez podmiot danych. Jest to sytuacja, w której administratora i podmiot danych łączy najpierw jakaś relacja, np. umowa. Przetwarzanie opiera się wówczas na art. 6 ust. 1 lit b) RODO, czyli na tej podstawie, iż dane są niezbędne do zawarcia i wykonania umowy, której stroną jest osoba, której dane dotyczą. Jeżeli umowa się kończy, ta podstawa prawna odpada, co teoretycznie powoduje, iż administrator powinien usunąć dane osobowe kontrahenta, które dotąd przetwarzał w związku z zawartą umową. Administratorzy często decydują się jednak na dalsze przetwarzanie w oparciu o inną podstawę prawną – art. 6 ust. 1 lit. f) ROOD, czyli prawnie uzasadniony interes administratora. Interesem tym jest ustalenie, dochodzenie lub obrona przed ewentualnymi roszczeniami, czy też wykazanie prawidłowości wykonania przez administratora swoich obowiązków. Uzasadnia to przetwarzanie danych właśnie do upływu okresu przedawnienia roszczeń.
PUODO: Przetwarzanie danych na zapas?
Kilkukrotnie PUODO zakwestionował powyższe rozwiązanie stosowane przez administratorów. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, jeżeli stosunek prawny ustał, to dalsze przetwarzanie na podstawie prawnie uzasadnionego interesu, polegającego na ustaleniu, dochodzeniu lub obrony przed roszczeniami, jest aktualny wyłącznie wtedy, jeżeli istnieje po stronie administratora lub podmiotu danych konkretne roszczenie. Organ nadzorczy stoi bowiem na stanowisku, że w przeciwnym wypadku, tj. kiedy dane przetwarzane są na wypadek sporu, który może wyniknąć w przyszłości, dane przetwarzane są w istocie na zapas – co stoi w sprzeczności z wyrażoną w RODO zasadą minimalizacji.
Przetwarzanie na zapas czy jednak celowe?
Stanowisko PUODO wydaje się jednak bardzo niepraktyczne i nieprzystające do realiów. Często bowiem strony pozostają w sporze co do istnienia danego roszczenia – np. jeden podmiot twierdzi, że ono mu przysługuje, drugi podmiot twierdzi, że nie przysługuje lub przysługuje w innym zakresie. Nie zawsze możliwe jest dokładne i skuteczne przewidywanie istnienia danego roszczenia. Rzadko również strony pozostają co do tego w zgodzie. Jeżeli administrator usunie dane niezwłocznie po ustaniu stosunku prawnego z podmiotem danych, będąc przekonanym o braku ewentualnych roszczeń między stronami, a następnie podmiot danych zwróci się do niego z roszczeniem materialnoprawnym, np. o zapłatę odszkodowania, administrator zostaje bez środków ochrony z uwagi na usunięcie danych osobowych przeciwnika procesowego ze swoich dokumentów.
Wątpliwości interpretacyjne
Czy w takim razie można przetwarzać dane w oparciu o przesłankę prawnie uzasadnionego interesu jakim jest ustalenie, dochodzenie i obrona przed roszczeniami? W przedmiocie powyższego nie sposób na dzień dzisiejszy udzielić wiążącej odpowiedzi, ponieważ nie ma jeszcze ugruntowanego stanowiska sądów w tym przedmiocie. Część decyzji Urzędu została zaskarżona do sądu, jednak orzeczenia jakie dotąd zapadły różnią się diametralnie. W zależności od składu orzekającego można uzyskać decyzję zgodą z interesem administratorów albo zgodną ze stanowiskiem PUODO.