Temat dotyczący przetwarzania danych osobowych po zakończonej rekrutacji pojawił się na naszym Blogu już dwukrotnie i śmiało możemy powiedzieć, że wraca niczym bumerang 😊 Są jednak ku temu powody: uzasadnienie precedensowego wyroku Naczelnego Sądu Administracyjnego – dalej także: NSA (sygn. akt: III OSK 2700/22) w tym temacie zostało opublikowane i w ramach niniejszego artykułu poruszymy kilka ciekawych wątków wynikających z tego rozstrzygnięcia, na które naszym zdaniem warto zwrócić uwagę.

Tło stanu faktycznego

Szczegóły sprawy opisywaliśmy już na Blogu <TUAJ> i <TUTAJ>. W skrócie: Wojewódzki Sąd Administracyjny w Warszawie (dalej: WSA) w ramach wyroku z dnia 4 sierpnia 2022 r. w sprawie o sygnaturze II SA/Wa 542/22, uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych, albowiem nie zgodził się ze stanowiskiem organu nadzorczego, który co do zasady wskazywał na konieczność niezwłocznego usunięcia danych kandydatów po zakończonej rekrutacji. Sprawa ostatecznie znalazła swój finał przed Naczelnym Sądem Administracyjnym, który podzielił stanowisko WSA wskazując, iż przechowywanie danych kandydatów do pracy po zakończonej rekrutacji ma swoje oparcie w prawnie uzasadnionym interesie, który jest jedną z przesłanek legalizujących przetwarzanie danych wskazaną w art. 6 ust. 1 lit. f RODO. Jak wynika z rozstrzygnięcia WSA, a następnie NSA, prawnie uzasadniony interes wyraża się w tym zakresie potrzebą zachowania danych na wypadek ewentualnych roszczeń niezatrudnionego kandydata z tytułu dyskryminacji w zatrudnieniu, a ramy czasowe przechowywania danych wyznaczają przepisy Kodeksu pracy wskazujące okres przedawnienia takiego roszczenia.

Prawnie uzasadniony interes

I tu przechodzimy do kluczowego zagadnienia – wyrok NSA w przedmiotowej sprawie, w ciekawy, trafny oraz bardzo przystępny sposób opisuje, czym jest prawnie uzasadniony interes i z jakich powodów stanowi on podstawę do przechowywania danych kandydatów do pracy po zakończonej rekrutacji. Orzeczenie NSA to cenna dawka istotnych aspektów dotyczących tej przesłanki przetwarzania danych i poniżej prezentujemy kilka z nich:

• prawnie uzasadniony interes nie musi ściśle wiązać się z realizacją praw i obowiązków wynikających z przepisów prawa. Innymi słowy, nie musi on wynikać z przepisów prawa. Jak podkreślił NSA, „takie wąskie rozumienie tego pojęcia prowadziłoby bowiem do częściowego zdublowania przesłanki przetwarzania danych osobowych z art. 6 ust. 1 lit. f RODO z przesłanką określoną w art. 6 ust. 1 lit. c RODO”, czyli z przetwarzaniem danych w celu realizacji obowiązku prawnego. Jak wskazuje NSA w wydanym wyroku, „prawnie uzasadniony interes administratora należy więc rozumieć, jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym„. Tym samym, porządek prawny nie stanowi ścisłej podstawy uzasadnionego interesu administratora do przetwarzania danych osobowych, wyznacza natomiast granicę tego przetwarzania. Prawnie uzasadnionym interesem nie będzie zatem sytuacja, w której interes administratora naruszałby prawo.

•  istotny w rozumieniu i stosowaniu prawnie uzasadnionego interesu jest motyw 47 RODO, z którego wynika że „prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.”

• przechowywanie danych na podstawie prawnie uzasadnionego interesu, którym w niniejszej sprawie było zachowanie danych na wypadek ewentualnych roszczeń, może następować „na zapas”, „na przyszłość”. W tym aspekcie NSA zdyskredytowało stanowisko PUODO, które wskazywało, iż prawnie uzasadniony interes polegający na przechowywaniu danych na wypadek roszczeń jest możliwy wyłącznie, jeżeli dokonywane są faktyczne działania w tym celu (czyli na przykład wytoczenie powództwa cywilnego). NSA podkreślił, iż kwestia ta była rozstrzygnięta jeszcze na gruncie uprzedniego stanu prawnego (tj. regulacji z zakresu ochrony danych przed obowiązywaniem RODO), co odzwierciedla na przykład wyrok z 4 grudnia 2014 r., sygn. I OSK 1001/13, w którym stwierdzono, iż uzależnienie dopuszczalności przetwarzania danych osobowych w oparciu o prawnie uzasadniony interes, od „wyraźnej deklaracji wystąpienia na drogę procesu cywilnego” jest zbyt formalistyczne i nie znajduje oparcia w prawie.

I cóż możemy jeszcze dodać? W pełni zgadzamy się z orzeczeniem wydanym przez NSA i zachęcamy do jego lektury! 😊