Czy można przetwarzać dane osobowe w celu ustalenia, dochodzenia i obrony potencjalnych roszczeń?
Kwestia przetwarzania danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń budzi w ostatnim czasie istotne wątpliwości. Z jednej strony na administratorach ciąży obowiązek poszanowania prywatności i stosowania zasady minimalizacji danych. Z drugiej – dążą oni do zabezpieczenia swoich uzasadnionych interesów poprzez możliwość obrony przed ewentualnymi roszczeniami. Poniżej przedstawiamy wnioski z jednego z orzeczeń NSA1, w którym poruszono tę problematykę.
Tło sprawy
NSA rozpoznał skargę kasacyjną firmy windykacyjnej, która została złożona od wyroku WSA w sprawie decyzji Prezesa UODO. Decyzja nakazywała firmie windykacyjnej usunięcie danych osobowych byłego dłużnika.
W związku z cesją wierzytelności firma windykacyjna pozyskała dane osobowe dłużnika, a następnie wykorzystała je w celu nawiązania kontaktu oraz przedstawienia propozycji tzw. wakacji od długu. Dłużnik twierdził, że nie wyraził zgody na przetwarzanie jego danych osobowych przez tę firmę. Zgłosił sprawę do Prezesa UODO. W konsekwencji organ nakazał firmie windykacyjnej usunąć dane osobowe dłużnika.
Zdaniem firmy windykacyjnej nadal mogła ona przetwarzać dane osobowe byłego dłużnika, ponieważ istniała potencjalna potrzeba ich zachowania w celu obrony przed ewentualnymi przyszłymi roszczeniami. W związku z tym przedsiębiorstwo wniosło skargę do WSA.
Stanowisko sądów
WSA oddalił skargę firmy windykacyjnej, uznając, że Prezes UODO nie dopuścił się naruszenia przepisów RODO. Zdaniem sądu postępowanie windykacyjne zostało zakończone, dlatego firma windykacyjna nie miała podstawy prawnej do dalszego przetwarzania danych osobowych byłego dłużnika tylko po to, żeby zabezpieczyć się na wypadek ewentualnych, niepewnych roszczeń w przyszłości.
Firma windykacyjna, nie zgadzając się z rozstrzygnięciem, wniosła skargę kasacyjną. Podniosła w niej, że taka decyzja może zostać skierowana do administratora danych osobowych, a nie podmiotu przetwarzającego, którego rolę pełniła w okresie przetwarzania.
NSA oddalił skargę kasacyjną, uznając, że:
- firma windykacyjna była administratorem danych, bo przetwarzała je w celu ustalenia, dochodzenia lub obrony własnych roszczeń;
- decyzja nakazująca usunięcie danych może być kierowana zarówno do podmiotu przetwarzającego dane osobowe, jak i administratora danych osobowych. W konsekwencji Prezes UODO miał prawo wydać wspomnianą wyżej decyzję wobec firmy windykacyjnej.
Wnioski dla administratorów
- Oparcie celu przetwarzania na przesłance uzasadnionego interesu administratora może wymagać przeprowadzenia testu równowagi – tzw. legitimate interest assessment (LIA). Polega on na ocenie, czy interes administratora nie narusza praw i wolności osoby, której dane dotyczą. Test powinien być przeprowadzony w sposób udokumentowany w celu wykazania zgodności z RODO.
- Wdrożenie polityki retencji danych oraz systematyczne przeglądy przechowywanych danych osobowych są kluczowe dla skutecznego ustalania, które dane nie są już niezbędne do realizacji określonych celów przetwarzania.
Administrator zobowiązany jest do zapewnienia ochrony prywatności osób, których dane dotyczą. Jeżeli decyduje się na przetwarzanie danych osobowych w celu ustalenia, dochodzenia lub obrony przed potencjalnymi roszczeniami, powinien przeprowadzić szczegółową analizę tego procesu, w tym zadbać o właściwe okresy retencji oraz odpowiednie zabezpieczenie danych. Tym samym konieczne jest odpowiednie udokumentowanie wszystkich działań związanych z tym procesem.
Jeśli potrzebują Państwo wsparcia w powyższym zakresie lub mają pytania do tego tematu – zachęcamy do kontaktu.
- Wyrok NSA z 29.07.2025 r., III OSK 132/22, LEX nr 3898721. ↩︎
