Zagadnienie przetwarzania danych osobowych kandydatów do pracy oraz niedoszłych i byłych klientów budzi wciąż nieustające wątpliwości. Z jednej strony mamy do czynienia z rygorystycznym stanowiskiem Urzędu Ochrony Danych Osobowych, z drugiej z bardziej liberalnym orzecznictwem sądów administracyjnych. Czy nowa linia orzecznicza w końcu uporządkuje te kwestie i da administratorom danych jasne wytyczne?
Kandydaci do pracy
Doczekaliśmy się wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 4 sierpnia 2022 r., sygn. akt II SA/Wa 542/22 w sprawie przechowywania danych osobowych kandydatów do pracy po zakończonej rekrutacji. Sąd podważył niekorzystną dla firm wykładnię Urzędu Ochrony Danych Osobowych, który udzielił upomnienia pracodawcy z powodu bezpodstawnego przetwarzania danych kandydatki do pracy po zakończonej rekrutacji.
https://orzeczenia.nsa.gov.pl/doc/CA1EDD9C9F
Zdaniem Urzędu firmy powinny usuwać dane kandydatów do pracy niezwłocznie po zakończeniu procesu rekrutacji, o ile ci nie wyrazili zgody na ich przetwarzanie w celu wzięcia udziału w przyszłych naborach.
Sąd nie przychylił się do stanowiska UODO, uznając przetwarzanie tych danych za zgodne z art. 6 ust. 1 f RODO tj. uzasadnionym interesem administratora danych – pracodawcy, który stanowi zabezpieczenie na wypadek ewentualnych roszczeń (np. zarzutów dyskryminacji w procesie naboru).
WSA zakwestionował w swoim orzeczeniu interpretację zgodnie z którą uzasadniony interes administratora musi dotyczyć sytuacji już istniejącej – roszczenia istniejącego, nie zaś ewentualnego.
Wskazał również, że niezbędność wyraża się właśnie w tym, że dane osobowe przetwarzane na potrzeby realizacji uzasadnionych prawnie interesów administratora muszą być niezbędne do ich realizacji, przy czym uzasadnienie prawne interesu nie musi wynikać wprost ze szczególnego przepisu prawa i nie powinno być utożsamiane z definicją interesu prawnego z procedury administracyjnej.
Zdaniem sądu zatem prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem.
Klienci
Urząd Ochrony Danych Osobowych równie konsekwentnie uznaje, że administratorzy danych w razie niezawarcia, a także po wykonaniu lub rozwiązaniu umowy powinni kasować wszystkie informacje o swoich niedoszłych lub byłych klientach. Nie podziela tego stanowiska najnowsze orzecznictwo sądów (m.in. wyrok II SA Wa 474/21 oraz wyrok II SA/Wa 506/21), które i w tym przypadku potwierdza, że przechowywanie danych osobowych klientów w przypadku niezawarcia lub po ustaniu umowy w celu realizacji uzasadnionego interesu administratora, jakim jest obrona przed ewentualnymi roszczeniami, jest w pełni zasadne i nie oznacza przetwarzania nadmiarowego „na zapas”.
Dopuszczalne będzie przetwarzanie danych osobowych zarówno w celu odparcia potencjalnych roszczeń, których niedoszły/były klient jeszcze nie przedstawił, jak i w celu zabezpieczenia własnych roszczeń, których administrator mógłby dochodzić od klienta. Takie przetwarzanie danych osobowych w celu ustalenia, dochodzenia i ochrony przed potencjalnymi roszczeniami, do upływu okresu przedawnienia, mieści się w pojęciu prawnie uzasadnionego interesu administratora.
UODO wniósł skargi kasacyjne od wskazanych rozstrzygnięć, zatem czas pokaże, czy Naczelny Sąd Administracyjny przesądzi sprawę i wskaże rozwiązanie problemu, które pozwalałoby pogodzić sprzeczne interesy przedsiębiorcy i osoby, której dane dotyczą.
