Do zasad związanych z ogólnopojętym ograniczeniem przetwarzania danych osobowych zalicza się także zasadę tzw. ograniczenia przechowywania danych osobowych, w ślad za którą dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Oznacza to, że po osiągnięciu celów przetwarzania dane powinny zostać usunięte albo zanonimizowane (art. 5 ust. 1 lit. e) RODO).
Wykładnia powyższych zasad miała doniosłe znaczenie przy wydaniu wyroku przez Trybunał Sprawiedliwości Unii Europejskiej („TSUE”) w dniu 20 października 2022 r. sygn. C‑77/21. Spór, który był przedmiotem rozpatrywanej sprawy odbywał się pomiędzy węgierską spółką Digi, czyli jednym z głównych dostawców usług internetowych i telewizji na Węgrzech, a Nemzeti Adatvédelmi és Információszabadság Hatóság (krajowym organem ochrony danych i wolności informacji na Węgrzech) w przedmiocie naruszenia ochrony danych osobowych zawartych w bazie danych spółki Digi. W tej sprawie sąd węgierski zwrócił się do TSUE z pytaniami prejudycjalnymi dotyczącymi zgodności równoległego przechowywania w innej bazie tych samych danych z zasadą ograniczonego celu.
STAN FAKTYCZNY
W 2017 roku w następstwie usterki technicznej, spółka Digi stworzyła testową bazę danych, do której skopiowała dane osobowe około jednej trzeciej swoich klientów indywidualnych, przechowywanych w innej bazie danych. Dwa lata później spółka Digi dowiedziała się, że „uczciwy haker” uzyskał dostęp do przechowywanych przez nią danych osobowych i zawiadomił o tym spółkę. Spółka Digi poprawiła błąd, który umożliwił uzyskanie owego dostępu oraz zawarła z tą osobą umowę o zachowaniu poufności wraz z propozycją nagrody. Po usunięciu testowej bazy danych kilka dni później spółka Digi, powiadomiła organ krajowy o naruszeniu ochrony danych osobowych, w następstwie czego organ ten wszczął postępowanie kontrolne.
Niemniej, organ krajowy w swojej decyzji stwierdził, że spółka Digi naruszyła art. 5 ust. 1 lit. b) i e) RODO, ponieważ po przeprowadzeniu niezbędnych testów i poprawieniu błędu nie usunęła ona niezwłocznie testowej bazy danych, wobec czego duża liczba danych osobowych, która pozwalała na identyfikację osób, których te dane dotyczyły, była przechowywana w tej bazie danych bez konkretnego i uzasadnionego celu przez prawie 18 miesięcy. W konsekwencji organ nałożył karę pieniężną na spółkę, co Spółka kwestionowała przed sądem, który w rezultacie skierował pytania do TSUE.
STANOWISKO TSUE
Trybunał wskazał, iż zasadę ograniczonego celu wskazaną w art. 5 ust. 1 lit b) RODO należy interpretować w ten sposób, że nie stoi ona na przeszkodzie utrwalaniu i przechowywaniu przez administratora, w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów, danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, w jakich dane osobowe zostały pierwotnie zebrane.
W uzasadnieniu wyroku wydanego przez TSUE wskazano bowiem, że przeprowadzenie testów i poprawienie błędów mających wpływ na bazę danych abonentów wykazują konkretny związek z wykonaniem umów abonenckich zawartych z klientami indywidualnymi, dla wykonania których dane pierwotnie zbierano, gdyż takie błędy mogą mieć szkodliwy wpływ na świadczenie przewidzianej w umowie usługi. Zdaniem TSUE, takie przetwarzanie nie odbiega od uzasadnionych oczekiwań klientów co do dalszego wykorzystywania ich danych osobowych. Powyższe oznacza, że skopiowanie danych do nowej bazy celem naprawienia błędów w systemie informatycznym należy uznać za dalsze przetwarzanie i takie działanie nie wymaga dodatkowej zgody klientów.
Jednakże TSUE zaznaczył, że zasada tzw. ograniczenia przechowywania danych wymaga od administratora, by był w stanie wykazać, że dane osobowe są przechowywane wyłącznie przez okres niezbędny do osiągnięcia celów, w których je zebrano lub w których je dalej przetworzono. W niniejszym przypadku spółka Digi podniosła, że po przeprowadzeniu testów i poprawieniu błędów nie usunęła, niezwłocznie, danych osobowych części jej klientów indywidualnych przechowywanych w testowej bazie danych. W świetle powyższego TSUE stanął zatem na stanowisku, że takie działanie Spółki naruszało zasadę ograniczenia przechowywania danych osobowych, ze względu na przechowywanie przez administratora danych zebranych wcześniej w innych celach przez okres dłuższy, niż jest to niezbędne do przeprowadzenia testów i poprawienia błędów.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.)
Specjalizuje się w prawie cywilnym, handlowym i gospodarczym. W dziale korporacyjnym i energetycznym jej działania opierają się głównie na obsłudze korporacyjnej spółek, opiniowaniu i przygotowywaniu umów handlowych, sporządzaniu pism procesowych i pozaprocesowych oraz przygotowywaniu analiz i opinii prawnych, w szczególności ze sfery prawa gospodarczego i prawa energetycznego. Dysponuje doświadczeniem zawodowym również w zakresie postępowań administracyjnych oraz cywilnych, które zdobywała w warszawskich…
Zobacz profil →Prawnicy HWW udzielają konsultacji w Warszawie oraz online. Wybierz formę kontaktu.
Nie przegap kolejnej analizy
Najważniejsze zmiany w prawie i ich skutki dla biznesu, raz w miesiącu na Twój e-mail.
Zapisując się, akceptujesz politykę prywatności. Wypiszesz się jednym kliknięciem.
