Prawo bycia zapomnianym – co oznacza dla dostawców usług telekomunikacyjnych? Część 2.

Dane abonentów po rozwiązaniu umowy – czy trzeba je usunąć?

Z tego artykułu dowiesz się:

  • Kiedy abonent może zgłosić żądanie bycia zapomnianym?
  • Czy można przetwarzać dane byłych klientów z powołaniem się na obronę i dochodzenie roszczeń?

Przedsiębiorco, czy wiesz, że RODO przyznaje osobie, której dane dotyczą, prawo bycia zapomnianym, czyli żądania od administratora niezwłocznego usunięcia jej danych osobowych? W jakich okolicznościach jest to możliwe?

RODO daje abonentowi prawo do bycia zapomnianym w razie wystąpienia choćby jednej z poniższych okoliczności:

  1. Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Taka sytuacja dotyczy m.in. zakończenia umowy o świadczenie usług telekomunikacyjnych.
  2. Cofnięto zgodę, na której opiera się przetwarzanie i administrator nie ma innej podstawy prawnej przetwarzania. Ta sytuacja jest dość częsta i dotyczy w dużej mierze wycofania zgód na prowadzenie działań marketingowych, gdy jednocześnie nie ma innej podstawy prawej przetwarzania danych.
  3. Wniesiono sprzeciw wobec przetwarzania z przyczyn związanych ze szczególną sytuacją osoby, której dane dotyczą i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą wnosi sprzeciw na przetwarzanie na potrzeby marketingu bezpośredniego. Z tą sytuacją będziemy mieć do czynienia w przypadku marketingu realizowanego w tradycyjny sposób np. za pomocą gazetek, broszur reklamowych i ulotek, a nie za pomocą telefonu lub wiadomości e-mail. Abonent może zgłosić dostawcy sprzeciw na otrzymywanie w/w materiałów reklamowych. W takim przypadku dostawca będzie zobowiązany zaprzestać ich dystrybucji wobec abonenta.
  4. Dane osobowe były przetwarzane niezgodnie z prawem. Dotyczy to np. przetwarzania danych bez podstawy prawnej, która ustała bądź nigdy jej nie było lub przetwarzania danych w innym celu, niż ten, w którym dane zostały zebrane.
  5. Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego. Najpełniej obrazuje tę sytuację przetwarzanie danych dla celów retencji. Z dniem upływu 12 miesięcy od połączenia lub próby połączenia Prawo telekomunikacyjne wprost nakazuje zniszczyć te dane (więcej o tym w pierwszej części artykułu).
  6. Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego. Ma to związek z prawną ochroną osób spowodowaną coraz szerszym dostępem dzieci do usług świadczonych za pośrednictwem Internetu oraz korzystania z portali społecznościowych. Brak świadomości prawnej po stronie dzieci powoduje, że są one szczególnie narażone na naruszenia swoich praw do prywatności i ochrony danych osobowych. Jako osoby dorosłe i świadome tych zagrożeń mogą one zgłosić żądanie usunięcia swoich danych.

Prawo bycia zapomnianym nie jest prawem bezwzględnym

Prawo bycia zapomnianym nie jest prawem bezwzględnym w tym znaczeniu, że doznaje wyłączeń, gdy przetwarzanie to jest niezbędne do:

  1. korzystania z prawa do wolności wypowiedzi i informacji;
  2. wywiązania się z prawnego obowiązku wymagającego przetwarzania lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
  4. celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo żądania usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  5. ustalenia, dochodzenia lub obrony roszczeń.

Z perspektywy świadczenia usług telekomunikacyjnych znaczenie ma przesłanka 2. (konieczność wywiązania się z obowiązku prawnego) i 5. (ustalenie, dochodzenie lub obrona roszczeń).

W tym miejscu przypomnieć wypada, że ustalenie, dochodzenie lub obronę przed roszczeniami uznaje się za prawnie uzasadniony interes realizowany przez administratora stanowiący jedną z podstaw prawnych przetwarzania danych, o której mowa w art. 6 ust.1 lit. f RODO. Z kolei wywiązanie się z obowiązku prawnego pozostaje w ścisłym związku z podstawą prawną przetwarzania danych określoną w art. 6 ust.1 lit. c RODO.

Ograniczenia administratora w zakresie przetwarzania danych osobowych

Jak pokazuje praktyka Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO) oraz wybrane orzecznictwo sądów administracyjnych, administrator może doznać poważnych ograniczeń w zakresie prawa przetwarzania danych osobowych opartego na przesłance przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO). Chodzi o przetwarzanie danych byłych klientów, wobec których administrator nie dochodzi jakichkolwiek roszczeń na drodze sądowej lub, gdy byli klienci nie wystąpili do administratora z takim roszczeniem. Jak zauważył Prezes UODO:

„przesłanka z art. 6 ust. 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.” (wyrok WSA w Warszawie sygn. II SA/Wa 1340/20* – orzeczenie nieprawomocne).

W ocenie Prezesa UODO, jeśli osoba, której dane są przetwarzane, nie skierowała do administratora jakiegokolwiek roszczenia, to administrator przetwarza jej dane wyłącznie „na zapas”, w celu zabezpieczenia się przed jej ewentualnymi przyszłymi i niepewnymi roszczeniami. Brak jest zatem celu uzasadniającego przetwarzanie danych osobowych w rozumieniu art. 6 ust. 1 lit. f RODO. Podobna sytuacja wystąpi w razie przetwarzania danych byłych klientów, pomimo braku sporu pomiędzy stronami w zakresie stosunku zobowiązaniowego.

W konsekwencji przetwarzanie danych w opisanych okolicznościach zostało uznane przez organ nadzoru za zbędne i niezgodne z obowiązującymi przepisami prawa. Administratorowi nakazano zaprzestać dalszego przetwarzania danych byłych klientów. Warto wyjaśnić, że w badanej sprawie podstawa prawna przetwarzania oparta na prawnie uzasadnionych interesach realizowanych przez administratora była jedyną, na którą ten powołał się w sporze z Prezesem UODO. Skarga administratora na decyzję Prezesa UODO okazała się nieskuteczna. Wojewódzki sąd administracyjny przychylił się do stanowiska organu nadzoru i skargę administratora oddalił.

Jak łatwo zauważyć, argumentacja organu, a następnie sądu administracyjnego okazała się niezwykle niekorzystna dla administratorów przetwarzających dane byłych klientów. Prowadzi ona bowiem do obowiązku usunięcia ich danych (lub zanonimizowania ich) wraz z wykonaniem umowy, o ile nie wystąpi element faktycznego dochodzenia roszczeń przez administratora lub podjęcia przez niego obrony.

Trzeba pamiętać, że działania podejmowane przez administratora są w dużej mierze pochodną działań (zaniechań) samego klienta. Ten ostatni może bowiem zgłosić roszczenia z umowy w późniejszym okresie, aniżeli bezpośrednio przy lub po jej wykonaniu. Podkreślić wreszcie trzeba, że administrator nie ma żadnego wpływu na to, kiedy jego klient zgłosi mu roszczenia. W praktyce może to zrobić do czasu przedawnienia roszczeń, a nawet później.

Roszczenia klienta

Warto pamiętać, że roszczenia klienta mogą dotyczyć innych kwestii aniżeli tego, co było przedmiotem umowy, np. dóbr osobistych klienta, a nie rozliczeń z tytułu świadczonych usług, czy też ich jakości. W takich przypadkach prawo przedsiębiorcy do skutecznej obrony lub dochodzenia własnych roszczeń może doznać istotnych ograniczeń, a to w zakresie możliwości zgłaszania dowodów na okoliczność dawnej współpracy pomiędzy stronami, która jedynie pośrednio „wygenerowała” spór pomiędzy nimi.

Z drugiej strony, usunięcie (zanonimizowanie) danych nie powinno umożliwiać administratorowi ich ponownej „kreacji” w sytuacji, gdy spór prawny pomiędzy byłymi stronami umowy wreszcie się zmaterializuje. Taki sposób realizacji obowiązku usunięcia danych przez administratora należałoby bowiem uznać za pozorny, pozostający w sprzeczności z RODO. Z tych powodów, mając na uwadze jak najlepszą ochronę interesów administratora warto jest rozważyć pozyskanie od klientów, w sposób skuteczny i ważny, zgody na przetwarzanie danych klientów po zakończeniu umowy.

Ponadto, celowe jest informowanie klientów, na etapie zbierania danych osobowych, o podstawie prawnej przetwarzania przewidzianej w art. 6 ust. 1 lit. c RODO, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków prawnych ciążących na administratorze. Te zaś będą wynikać choćby z przepisów Ordynacji podatkowej, ustaw podatkowych czy ustawy o rachunkowości, a w przypadku dostawców usług telekomunikacyjnych także z przepisów Prawa telekomunikacyjnego w zakresie obowiązku retencji danych i przechowania danych do celów rozliczeń za wykonane usługi i rozpatrzenia reklamacji. Argument ten może i powinien być podnoszony również w razie sporu z regulatorem, a następnie przed sądami administracyjnymi.

Na koniec jeszcze fragment innego wyroku, jaki zapadł na tle przetwarzania danych byłego pracownika:

„Podkreślić należy, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako „na zapas” z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Gdyby uznać za zasadną argumentację SP ZOZ to mogłoby to doprowadzić do absurdalnych wniosków, że administrator jest uprawniony dłużej przetwarzać dane osoby, byłego pracownika z którą nie łączy umowa o pracę. Odwoływanie się w tym przypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych jakie były pracownik mógłby potencjalnie wytoczyć byłemu pracodawcy na tle nieistniejącego między stronami stosunku zobowiązaniowego nie znajduje żadnego logicznego, ani prawnego uzasadnienia.” (patrz wyrok WSA w Warszawie sygn. akt II SA/Wa 781/20 wraz z Postanowieniem NSA w sprawie o sygn. akt III OSK 4727/21)*.

Potrzebujesz wsparcia prawnego? Dowiedz się więcej na stronach specjalizacji Prawo telekomunikacyjne oraz Ochrona danych osobowych (RODO).

*źródło https://orzeczenia.nsa.gov.pl

Ta strona używa plików cookies. Dowiedz się więcej o celu ich używania i zmianie ustawień cookies w swojej przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookies.