Ustawodawca unijny w sposób precyzyjny określił zasady przetwarzania danych osobowych w RODO[1], tak aby to przetwarzanie danych było zgodne z prawem. Pod ogólnym pojęciem przetwarzania zawierają się bowiem wszelkie operacje wykonywane na danych osobowych lub ich zestawach w sposób zautomatyzowany lub niezautomatyzowany, takie jak np. zbieranie, przechowywanie, pobieranie, udostępnianie czy usuwanie lub niszczenie. Wśród najważniejszych zasad dotyczących przetwarzania danych osobowych ustawodawca uregulował tzw. zasadę ograniczonego celu w art. 5 ust. 1 lit b) RODO, zgodnie z którą dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Powyższe oznacza, że cel, dla realizacji którego dane osobowe są gromadzone, powinien być konkretny i wyraźny.
Do zasad związanych z ogólnopojętym ograniczeniem przetwarzania danych osobowych zalicza się także zasadę tzw. ograniczenia przechowywania danych osobowych, w ślad za którą dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Oznacza to, że po osiągnięciu celów przetwarzania dane powinny zostać usunięte albo zanonimizowane (art. 5 ust. 1 lit. e) RODO).
Wykładnia powyższych zasad miała doniosłe znaczenie przy wydaniu wyroku przez Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) w dniu 20 października 2022 r. sygn. C‑77/21. Spór, który był przedmiotem rozpatrywanej sprawy odbywał się pomiędzy węgierską spółką Digi, czyli jednym
z głównych dostawców usług internetowych i telewizji na Węgrzech, a Nemzeti Adatvédelmi és Információszabadság Hatóság (krajowym organem ochrony danych i wolności informacji na Węgrzech) w przedmiocie naruszenia ochrony danych osobowych zawartych w bazie danych spółki Digi. W tej sprawie sąd węgierski zwrócił się do TSUE z pytaniami prejudycjalnymi dotyczącymi zgodności równoległego przechowywania w innej bazie tych samych danych z zasadą ograniczonego celu.
W 2017 roku w następstwie usterki technicznej, spółka Digi stworzyła testową bazę danych, do której skopiowała dane osobowe około jednej trzeciej swoich klientów indywidualnych, przechowywanych
w innej bazie danych. Dwa lata później spółka Digi dowiedziała się, że „uczciwy haker” uzyskał dostęp do przechowywanych przez nią danych osobowych i zawiadomił o tym spółkę. Spółka Digi poprawiła błąd, który umożliwił uzyskanie owego dostępu oraz zawarła z tą osobą umowę o zachowaniu poufności wraz z propozycją nagrody. Po usunięciu testowej bazy danych kilka dni później spółka Digi, powiadomiła organ krajowy o naruszeniu ochrony danych osobowych, w następstwie czego organ ten wszczął postępowanie kontrolne.
Niemniej, organ krajowy w swojej decyzji stwierdził, że spółka Digi naruszyła art. 5 ust. 1 lit. b) i e) RODO, ponieważ po przeprowadzeniu niezbędnych testów i poprawieniu błędu nie usunęła ona niezwłocznie testowej bazy danych, wobec czego duża liczba danych osobowych, która pozwalała na identyfikację osób, których te dane dotyczyły, była przechowywana w tej bazie danych bez konkretnego
i uzasadnionego celu przez prawie 18 miesięcy. W konsekwencji organ nałożył karę pieniężną na spółkę, co Spółka kwestionowała przed sądem, który w rezultacie skierował pytania do TSUE.
Trybunał wskazał, iż zasadę ograniczonego celu wskazaną w art. 5 ust. 1 lit b) RODO należy interpretować w ten sposób, że nie stoi ona na przeszkodzie utrwalaniu i przechowywaniu przez administratora –
w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, w jakich dane osobowe zostały pierwotnie zebrane.
W uzasadnieniu wyroku wydanego przez TSUE wskazano bowiem, że przeprowadzenie testów
i poprawienie błędów mających wpływ na bazę danych abonentów wykazują konkretny związek
z wykonaniem umów abonenckich zawartych z klientami indywidualnymi, dla wykonania których dane pierwotnie zbierano, gdyż takie błędy mogą mieć szkodliwy wpływ na świadczenie przewidzianej
w umowie usługi. Zdaniem TSUE, takie przetwarzanie nie odbiega od uzasadnionych oczekiwań klientów co do dalszego wykorzystywania ich danych osobowych. Powyższe oznacza, że skopiowanie danych do nowej bazy celem naprawienia błędów w systemie informatycznym należy uznać za dalsze przetwarzanie i takie działanie nie wymaga dodatkowej zgody klientów.
Jednakże TSUE zaznaczył, że zasada tzw. ograniczenia przechowywania danych wymaga od administratora, by był w stanie wykazać, że dane osobowe są przechowywane wyłącznie przez okres niezbędny do osiągnięcia celów, w których je zebrano lub w których je dalej przetworzono. W niniejszym przypadku spółka Digi podniosła, że po przeprowadzeniu testów i poprawieniu błędów nie usunęła – niezwłocznie – danych osobowych części jej klientów indywidualnych przechowywanych w testowej bazie danych. W świetle powyższego TSUE stanął zatem na stanowisku, że takie działanie Spółki naruszało zasadę ograniczenia przechowywania danych osobowych, ze względu na przechowywanie przez administratora danych zebranych wcześniej w innych celach przez okres dłuższy, niż jest to niezbędne do przeprowadzenia testów i poprawienia błędów.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.)
Potrzebujesz pomocy w tym temacie? Napisz do nas!