Przetwarzanie danych osobowych w kontekście obrony przed roszczeniami to temat, który budzi kontrowersje i wywołuje różne interpretacje – zarówno w orzecznictwie, jak i w praktyce stosowania RODO. Z jednej strony mamy przepisy pozwalające na przetwarzanie danych w oparciu o uzasadniony interes administratora, z drugiej – silny nacisk na zasadę minimalizacji i ograniczenia celu.

UODO i stanowisko restrykcyjne wobec banków

Urząd Ochrony Danych Osobowych (UODO) w kilku decyzjach zakwestionował długoterminowe przechowywanie danych klientów przez banki po wygaśnięciu relacji umownej. W ocenie organu, samo potencjalne ryzyko wystąpienia roszczeń nie wystarcza, by uzasadnić dalsze przetwarzanie danych.

Naczelny Sąd Administracyjny w wyroku z dnia 8 stycznia 2025 r. (sygn., akt. III OSK 4868/21), a wcześniej Wojewódzki Sąd Administracyjny w Warszawie (II SA/Wa 607/20), zgodził się z Prezesem Urzędu Ochrony Danych Osobowych, że bank nie może przetwarzać danych osobowych na podstawie art. 6 ust. 1 lit. f RODO w celu obrony przed ewentualnymi roszczeniami byłych klientów.

Bardziej elastyczne podejście sądów – wyrok III OSK 2700/22

Na przeciwnym biegunie znajduje się nowszy wyrok NSA z 20 lutego 2024 r., sygn. III OSK 2700/22, który dotyczył przechowywania danych kandydatów do pracy po zakończonej rekrutacji. Sprawa dotyczyła decyzji UODO, który zakwestionował praktykę pracodawcy polegającą na zachowywaniu danych na wypadek roszczeń dotyczących dyskryminacji.

NSA nie podzielił restrykcyjnej interpretacji organu i uznał, że przechowywanie danych w celu obrony przed roszczeniami może być uzasadnione na podstawie art. 6 ust. 1 lit. f RODO. Co więcej, sąd stwierdził, że nie jest wymagane istnienie konkretnego, już zgłoszonego roszczenia – wystarczy realna możliwość jego powstania.

Warto podkreślić, że NSA zaakceptował jako rozsądny okres retencji trzy lata, odpowiadający terminowi przedawnienia roszczeń z zakresu prawa pracy. Wyrok ten daje wyraźny sygnał, że uzasadniony interes administratora może obejmować także potencjalne, ale realistyczne ryzyka prawne.

Główne rozbieżności i ich konsekwencje

Na tle przytoczonych orzeczeń wyraźnie widać rozdźwięk między:

• Stanowiskiem UODO – restrykcyjnym, zgodnie z którym przechowywanie danych na wypadek potencjalnych roszczeń wymaga bardzo konkretnych podstaw i nie może być działaniem „na zapas”;
• Orzecznictwem NSA– które dopuszcza przechowywanie danych w takich celach, o ile administrator jest w stanie wykazać rzeczywisty interes i przestrzega pozostałych zasad przetwarzania danych.

Co to oznacza dla administratorów danych?

Dla firm, pracodawców, instytucji finansowych i innych administratorów danych oznacza to konieczność ostrożnego, ale też elastycznego podejścia. Kluczowe jest:

• Dokumentowanie analizy uzasadnionego interesu – w tym wskazanie ryzyka wystąpienia roszczenia oraz okresu retencji;
• Ograniczenie zakresu i czasu przechowywania danych – np. do ustawowych terminów przedawnienia roszczeń;
• Ocena interesów osoby, której dane dotyczą – jeśli jej prawa lub wolności przeważają nad interesem administratora, dane należy usunąć wcześniej;
• Transparentność wobec osób, których dane dotyczą – w politykach prywatności i klauzulach informacyjnych należy wskazać możliwość przetwarzania danych w celach obrony roszczeń.

Podsumowanie

Nie ma dziś jednej, spójnej interpretacji co do dopuszczalności przetwarzania danych na potrzeby obrony przed potencjalnymi roszczeniami. UODO pozostaje przy konserwatywnym podejściu, natomiast orzecznictwo sądów administracyjnych – zwłaszcza NSA w wyroku III OSK 2700/22 – daje administratorom więcej przestrzeni na działanie, o ile są w stanie wykazać realne podstawy przetwarzania oraz stosują zasadę proporcjonalności.