przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Czy można przetwarzać dane w celu obrony przed roszczeniami? Wyzwania prawne dla administratorów

Czy można przetwarzać dane w celu obrony przed roszczeniami? Wyzwania prawne dla administratorów

Wielkość tekstu:

Legalne przetwarzanie danych osobowych powinno opierać się na jednej z kilku podstaw wskazanych w RODO1. Żadna z nich nie budzi tylu kontrowersji, co niezbędność przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów administratora lub strony trzeciej. To jednak właśnie ta podstawa otwiera szerokie możliwości działania i umożliwia przechowywanie danych, które potrafią odegrać kluczową rolę w sporze sądowym.

Kiedy sięgać po uzasadniony interes?

Choć przepisy pozostawiają pewien margines interpretacyjny, to praktyka i orzecznictwo wyznaczyły ramy, które pozwalają lepiej zrozumieć, kiedy można powołać się na prawnie uzasadniony interes.

Aby przetwarzanie danych na podstawie uzasadnionego interesu było legalne, powinno być:

  1. niezbędne, a nie jedynie „przydatne”;
  2. uzasadnione gospodarczo i zgodne z prawem – cel, który zamierza osiągnąć administrator danych, powinien być związany bezpośrednio z główną działalnością administratora lub mieć charakter pomocniczy, obejmujący np. zabezpieczenie prawne działalności wiodącej;
  3. zrównoważone, czyli powinno uwzględniać ograniczenia w postaci interesów lub podstawowych praw i wolności podmiotu, którego dane dotyczą. Jeżeli będą one nadrzędne wobec interesu administratora, to przetwarzanie na tej podstawie nie powinno mieć miejsca.

Przechowywanie danych na potrzeby roszczeń – czy to legalne?

Może się wydawać oczywistym, że przetwarzanie danych osób, z którymi przedsiębiorcę łączyła relacja prawna, jest uzasadnione do czasu upływu terminu przedawnienia roszczeń. W końcu w tym okresie przedsiębiorca może zostać pozwany, a dane mogą okazać się kluczowe dla wykazania, że roszczenie jest niezasadne. Jednak ta kwestia nie jest taka oczywista.

Przykład:

Firma archiwizuje dokumentację współpracy z klientem – umowę, korespondencję, protokoły odbioru – by w razie sporu móc wykazać, że usługa została wykonana zgodnie z ustaleniami. Osoba, której dane dotyczą, może się tego spodziewać, ponieważ była stroną umowy i została poinformowana o celu przetwarzania.

Opisana sytuacja nie jest jednoznaczna, ponieważ przetwarzanie danych na wypadek roszczeń budzi kontrowersje. Krytycy tego rozwiązania wskazują, że takie działania mogą naruszać zasadę minimalizacji danych i prowadzić do ich przechowywania „na zapas”.

Coraz częściej dopuszcza się jednak możliwość przechowywania danych na wypadek roszczeń, a praktycy podkreślają znaczenie tych informacji, zadając następujące pytania:

  • Jak odpowiedzieć na zarzuty kontrahenta, jeśli nie znamy szczegółów realizowanego zlecenia? 
  • Jak wykazać, że roszczenia kandydata nieprzyjętego do pracy są niezasadne, jeśli nie posiadamy dokumentacji potwierdzającej jego udział w rekrutacji? 

Wniosek jest następujący – przedwczesne usunięcie danych może skutkować utratą kluczowych dowodów – zarówno po stronie administratora, jak i podmiotu dochodzącego roszczeń.

Roszczenia w rekrutacji

W przypadku gromadzenia danych związanych z rekrutacją przełomowe znaczenie miał wyrok Naczelnego Sądu Administracyjnego jednoznacznie wskazujący, że administrator danych ma prawo do dalszego przechowywania informacji o kandydatach, z którymi nie zawarto umowy o pracę. 

Zgodnie z wyrokiem administrator ma do tego prawo, o ile celem działania jest zabezpieczenie się na wypadek sporu sądowego, np. o odszkodowanie za dyskryminację w zatrudnieniu2. Retencja dokumentów nie powinna być dłuższa niż okres przedawnienia roszczeń kandydatów, czyli 3 lata.

Przykład: Pracodawca zakończył rekrutację na stanowisko głównej księgowej, ale w celu obrony przed ewentualnymi roszczeniami jest uprawniony do dalszego przechowywania CV i informacji o przebiegu rekrutacji niezatrudnionych kandydatów przez 3 lata.

Front biznesowy – co z obroną przed roszczeniami klientów?

Wciąż jednak pojawiają się „czerwone światła” – zwłaszcza w kontekście danych klientów. W głośnym wyroku NSA uznał, że bank nie może przetwarzać danych byłego klienta wyłącznie w celu zabezpieczenia się przed ewentualnymi przyszłymi roszczeniami, jeśli nie istnieje już żadna aktywna relacja umowna3.

Nie jest to jednak stały trend. Pewną nadzieję przynosi najnowsze orzecznictwo. Przykładem jest jeden z ostatnich wyroków Wojewódzkiego Sądu Administracyjnego w Warszawie, w którym uchylono decyzję Prezesa UODO, nakazującą instytucji finansowej usunięcie danych osobowych osoby, której odmówiono udzielenia kredytu4. Sąd uznał, że przetwarzanie tych danych w celu obrony przed potencjalnymi roszczeniami może być uzasadnione.

Przedsiębiorcy liczą na to, że w najbliższym czasie wykształci się bardziej zrównoważone podejście do przechowywania danych osobowych na wypadek roszczeń. Sam fakt, że roszczenie nie zostało jeszcze zgłoszone, nie oznacza przecież, że nie istnieje. O jego zasadności lub braku zasadności rozstrzyga sąd, a skuteczna obrona w takim postępowaniu wymaga zazwyczaj przetwarzania przynajmniej podstawowych danych osobowych drugiej strony sporu.

Jak zminimalizować ryzyko zakwestionowania legalności przetwarzania danych?

Tam, gdzie przepisy pozostawiają pole do interpretacji, rośnie ryzyko zakwestionowania legalności przetwarzania danych – zarówno przez osoby, których dane dotyczą, jak i przez Prezesa UODO.

Jak ograniczyć to ryzyko przy przetwarzaniu danych na potrzeby roszczeń? Kluczowe są tutaj 3 kwestie:

  1. przemyślany proces – dane powinny być przechowywane wyłącznie w niezbędnym zakresie i tylko w celu obrony przed roszczeniami. Systemy informatyczne powinny wspierać te ograniczenia;

Przykład:

Danych byłych klientów, które są przechowywane w celu obrony przed ewentualnymi roszczeniami, nie wolno wykorzystywać do celów marketingowych, a danych byłych kandydatów – do rekrutacji, jeśli nie wyrazili na to zgody.

  1. analiza i test – każde przetwarzanie powinno być poprzedzone udokumentowaną analizą ryzyka. W przypadku uzasadnionego interesu niezbędne jest przeprowadzenie testu równowagi – oceny, czy interes administratora nie narusza praw i wolności osoby, której dane dotyczą;

  1. przejrzysta komunikacja – osoby, których dane dotyczą, muszą być jasno poinformowane o celu, podstawie prawnej i okresie przechowywania ich danych.

Do czasu ujednolicenia stanowiska organów i sądów, przetwarzanie danych w celu obrony przed roszczeniami zawsze będzie wiązało się z pewnym ryzykiem. Mimo to wielu administratorów uznaje, że warto z tej możliwości korzystać – pod warunkiem odpowiedniego zaprojektowania procesu. Jeśli potrzebują Państwo wsparcia w tym zakresie, to zachęcamy do kontaktu.

Polecamy:

Jak sprawdzić NIP, czyli Numer Identyfikacji Podatkowej?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO).
Wyrok Naczelnego Sądu Administracyjnego (dalej: NSA) z dnia 20 lutego 2024 r. (sygn. akt. III OSK 2700/22).
3  Wyrok NSA z dnia 8 stycznia 2025 r. (sygn. akt. III OSK 4868/21).
4  Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 czerwca 2025 r., sygn. akt II SA/Wa 1777/24.

 

 autor: Katarzyna Serwatka, Radca prawny, Counsel w Olesiński i Wspólnicy

Zawieranie umów online
Lipiec 2025
26
Sobota
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Zastrzeżenie PESEL – jakie niesie konsekwencje?
  4. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  5. RODO - czyli jakie dane podlegają ochronie danych osobowych?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Zawieranie umów online

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Mobile Trends for Experts 2025 – tam, gdzie technologia spotyka liderów!
Forum Dyrektor Finansowy| 8–9 października 2025, ADN Centrum Konferencyjne, Warszawa
Konferencja Global Alliance In a Changing World - Platforma Dialogu o Prawach i Sprawiedliwości | Już w lipcu w Polsce!
VI Kongres Biur Rachunkowych – dwudniowa podróż w czasie i przyszłość zawodu księgowego
Konferencja Trendy HR: HR jako lider zmian Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów