Zasada gromadzenia danych w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzana dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b) RODO)

Art. 5 ust. 1 lit. b) RODO wymaga aby cele przetwarzania zostały jasno określone w treści żądania, najpóźniej w momencie zgromadzenia danych osobowych [wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests, C-175/20

Zgodnie z art. 5 ust. 2 RODO na administratorze spoczywa ciężar udowodnienia, że dane te są w szczególności gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz że są przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

Wyrok TSUE z dnia 11 lipca 2024 r., C-757/22

Standard: 83992 (pełna treść orzeczenia)

Z art. 5 ust. 1 lit. b) wynika, że zawiera on dwa wymogi, z których pierwszy dotyczy celów pierwotnego zbierania danych osobowych, a drugi – dalszego przetwarzania tych danych.

Co się tyczy, po pierwsze, wymogu, zgodnie z którym dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, z orzecznictwa Trybunału wynika, iż ów wymóg oznacza przede wszystkim, że cele przetwarzania należy określić najpóźniej w momencie zbierania danych osobowych, następnie – że cele tego przetwarzania muszą zostać jasno określone i wreszcie – że cele owego przetwarzania powinny gwarantować między innymi zgodność przetwarzania tych danych z prawem w rozumieniu art. 6 ust. 1 rozporządzenia 2016/679 [zob. podobnie wyrok z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests, C-175/20).

Co się tyczy, po drugie, wymogu, zgodnie z którym dane osobowe nie mogą być przedmiotem dalszego przetwarzania, które byłoby niezgodne z tymi celami, należy zauważyć z jednej strony, że utrwalanie i przechowywanie przez administratora danych, w nowo utworzonej bazie danych, danych osobowych przechowywanych w innej bazie danych stanowi „dalsze przetwarzanie” tych danych.

Pojęcie „przetwarzania” jest zdefiniowane w szeroki sposób w art. 4 pkt 2 rozporządzenia 2016/679 jako oznaczające operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak między innymi zbieranie, utrwalanie i przechowywanie tych danych.

Zgodnie ze zwykłym znaczeniem słowa „dalsze” w języku potocznym każde przetwarzanie danych osobowych, które następuje po pierwotnym przetwarzaniu, jakim jest pierwotne zbieranie tych danych, stanowi „dalsze” przetwarzanie owych danych, niezależnie od celu tego dalszego przetwarzania.

Art. 5 ust. 1 lit. b) rozporządzenia 2016/679 nie zawiera wskazówek co do tego, na jakich warunkach dalsze przetwarzanie danych osobowych można uznać za zgodne z celami pierwotnego zbierania tych danych.

Z łącznej lektury art. 5 ust. 1 lit. b), art. 6 ust. 1 lit. a) i art. 6 ust. 4 rozporządzenia 2016/679 wynika, że kwestia zgodności dalszego przetwarzania danych osobowych z celami, w jakich dane te pierwotnie zebrano, pojawia się jedynie w przypadku, gdy cele tego dalszego przetwarzania nie są identyczne z celami pierwotnego zbierania.

Z art. 6 ust. 4 w związku z motywem 50 rzeczonego rozporządzenia wynika, że jeżeli przetwarzanie w celu innym niż cel, w którym dane zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego, wówczas aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane, należy uwzględnić między innymi, po pierwsze, wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; po drugie, kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; po trzecie, charakter danych osobowych; po czwarte, ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; i wreszcie po piąte, istnienie odpowiednich zabezpieczeń zarówno w ramach pierwotnego przetwarzania, jak i zamierzonego dalszego przetwarzania. Kryteria te wskazują na konieczność konkretnego, logicznego i dostatecznie ścisłego związku pomiędzy celami pierwotnego zbierania danych osobowych a dalszym przetwarzaniem tych danych i pozwalają upewnić się, czy to dalsze przetwarzanie nie odbiega od uzasadnionych oczekiwań abonentów co do dalszego wykorzystania ich danych.

Owe kryteria pozwalają poza tym, jak podkreślił w istocie rzecznik generalny w pkt 27 opinii, na określenie ram ponownego wykorzystania zebranych wcześniej danych osobowych poprzez zapewnienie równowagi między potrzebą przewidywalności i pewności prawa w odniesieniu do celów przetwarzania zebranych wcześniej danych osobowych z jednej strony a uznaniem pewnej elastyczności na korzyść administratora w zarządzaniu tymi danymi z drugiej strony i przyczyniają się w ten sposób do osiągnięcia przewidzianego w motywie 10 rozporządzenia 2016/679 celu polegającego na zapewnieniu spójnego i wysokiego stopnia ochrony osób fizycznych.

W konsekwencji sąd krajowy powinien ustalić zarówno cele pierwotnego zbierania danych osobowych, jak i cele dalszego przetwarzania tych danych, a także – w przypadku gdyby cele tego dalszego przetwarzania różniły się od celów wspomnianego zbierania – sprawdzić, czy dalsze przetwarzanie wspomnianych danych jest zgodne z celami rzeczonego pierwotnego zbierania.

Z całości powyższych rozważań wynika, że na pytanie pierwsze należy udzielić następującej odpowiedzi: art. 5 ust. 1 lit. b) rozporządzenia 2016/679 należy interpretować w ten sposób, że przewidziana w tym przepisie zasada „ograniczenia celu” nie stoi na przeszkodzie utrwalaniu i przechowywaniu przez administratora – w bazie danych utworzonej w celu przeprowadzenia testów i poprawienia błędów – danych osobowych, które wcześniej zebrano i przechowywano w innej bazie danych, jeżeli takie dalsze przetwarzanie jest zgodne z konkretnymi celami, w jakich dane osobowe zostały pierwotnie zebrane, co należy ustalić w świetle kryteriów określonych w art. 6 ust. 4 tego rozporządzenia.

Wyrok TSUE z dnia 20 października 2022 r., C-77/21

Standard: 84156 (pełna treść orzeczenia)