Po usunięciu danych klienta firmie trudno będzie się bronić
NSA uznał, że nie należy przetwarzać danych osobowych na zapas. Tylko co to właściwie znaczy?
Wyrok Naczelnego Sądu Administracyjnego, jaki zapadł 8 stycznia br. w sprawie jednego z banków (sygn. akt III OSK 4868/21), nie wzbudził zbyt dużego zainteresowania. Niesłusznie – powinien on zainteresować sporą część przedsiębiorców, nie tylko tych z sektora bankowego, którzy przetwarzają dane osobowe swoich klientów, a zwłaszcza dane byłych klientów. Istotą sprawy było udzielenie przez sąd odpowiedzi na pytanie, czy bank jest zobowiązany do usunięcia danych swych byłych klientów, czy też jest on uprawniony do ich dalszego przetwarzania z powołaniem się na ewentualne dochodzenie roszczeń lub obronę przed roszczeniami. Innymi słowy: czy okres dopuszczalnej retencji danych osobowych może być określany w oparciu o okres przedawnienia roszczeń cywilnoprawnych i wynosić np. trzy lub sześć lat.
Niejednolite orzecznictwo
Prezes Urzędu Ochrony Danych Osobowych, dość konsekwentnie, kwestionuje możliwość powoływania się na terminy przedawnienia roszczeń przy obliczaniu dopuszczalnego okresu przetwarzania danych klientów po zakończeniu obowiązywania umowy (np. umowy kredytu). W ocenie organu takie przetwarzanie jest działaniem „na zapas”, nie znajdującym uzasadnienia w przepisach RODO, a konkretnie w art. 6 ust. 1 lit. f RODO (klauzula prawnie uzasadnionego interesu). Według prezesa UODO powoływanie się na tę przesłankę byłoby dopuszczalne, jednak dopiero w sytuacji już istniejącego sporu pomiędzy stronami. Jeśli go zaś nie ma, to były klient ma prawo zażądać od przedsiębiorcy usunięcia swoich danych.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.