Bardzo często nasi Klienci pytają o zasady przetwarzania danych osobowych w kopiach zapasowych. Generalnie problem sprowadza się do pytania, czy w przypadku usunięcia danych osobowych ze zbioru danych, należy usunąć te dane również ze wszystkich, uprzednio wykonanych kopii zapasowych ?

Przyjęcie, iż administrator danych usuwając dane osobowe z zasobów operacyjnych systemu informatycznego, musi również usunąć dane ze wszystkich uprzednio stworzonych kopii zapasowych, niesie za sobą niezwykle istotne konsekwencje praktyczne. Usunięcie danych osobowych z kopii zapasowych wiąże się zarówno ze znacznymi nakładami pracy - na weryfikację posiadanych kopii zapasowych, w celu odnalezienia i usunięcia określonych danych osobowych, jak również nakładami finansowymi - na nabycie odpowiedniego sprzętu i oprogramowania.

Konieczność usunięcia czy modyfikacji kopii zapasowych może jednak prowadzić do znacznie poważniejszych konsekwencji w zakresie bezpieczeństwa informatycznego administratora danych. Usunięcie określonych danych z kopii zapasowych (co w praktyce sprowadza się do „przegrania” kopii zapasowej) mogłoby prowadzić do zniweczenia jednej z funkcji kopii zapasowych tj. możliwości odtworzenia pełnego stanu systemu informatycznego na dany dzień. Niewątpliwie możliwość odtworzenia stanu systemu informatycznego na konkretny dzień jest szczególnie istotna dla instytucji finansowych. Jak wynika choćby z doniesień prasowych, banki coraz częściej padają ofiarą przestępstw, dokonywanych przy wykorzystaniu systemów informatycznych. Trudno wyobrazić sobie skuteczne ściganie tego rodzaju przestępstw bez możliwości porównania aktualnego stanu systemu informatycznego ze stanem systemu informatycznego sprzed incydentu. Możliwość taką, zapewnić ma między innymi polityka tworzenia i archiwizacji kopii zapasowych danych, przetwarzanych w systemie informatycznym.

Mając na uwadze niezwykle praktyczną doniosłość powyższej tematyki, z wielkim zainteresowaniem przyjąłem orzeczenie Wojewódzkiego Sądu Administracyjnego z dnia 16 stycznia 2008 r. wprost dotyczące przedmiotowej kwestii (wyrok WSA z 16.01.2008 r. Sygn. Akt. II SA/Wa 1801/07).

Zgodnie z uzyskanymi informacjami, orzeczenie to nie jest jeszcze prawomocne. Od wyroku WSA złożona została bowiem skarga kasacyjna do Naczelnego Sądu Administracyjnego. Cierpliwie czekając na ostateczny werdykt w tej niezwykle interesującej sprawie, chciałbym przedstawić aktualny stan sprawy i argumentacją stron.

Z powołanych w uzasadnieniu orzeczenia ustaleniach poczynionych przez GIODO oraz WSA rysuje się następujący stan sprawy:

• w dniu 14 października 2005 r. pan A złożył do banku wniosek o kartę kredytową. W związku ze złożonym wnioskiem, bank pozyskał dane osobowe Pana A w zakresie: imienia, nazwiska, daty urodzenia, nazwiska rodowego matki, serii i nr dowodu osobistego, nr PESEL, serii i nr paszportu, adresu zameldowania, sytuacji finansowej.

• bank negatywnie ocenił wniosek kredytowy, w rezultacie czego nie doszło do zawarcia umowy o kartę kredytową. W związku z powyższym, Pan A zwrócił się do banku o zwrot wypełnionych przez niego wniosków, jednak spotkał się z odmową banku. Bank w kolejnych pismach skierowanych do Pana A wskazał, iż usunął jego dane osobowe z systemu informatycznego obsługującego wnioski kredytowe i nie przetwarza tychże danych osobowych w żadnym zbiorze danych osobowych. Bank przyznał jednak, iż przedmiotowe dane osobowe są przechowywane w ramach kopii zapasowych w celu zapewnienia bezpieczeństwa operacyjnego banku. Mając na uwadze powyżej zarysowany stan faktyczny, Generalny Inspektor Ochrony Danych Osobowych nakazał Bankowi usunięcie zarchiwizowanych w ramach kopi zapasowych danych osobowych Pana A .

Wobec takiego rozstrzygnięcia sprawy, Bank wystąpił do GIODO o ponowne rozstrzygnięcie sprawy, wskazując między innymi, na następujące okoliczności:

• przetwarzanie danych osobowych w ramach kopii zapasowych odbywa się w innym celu niż przetwarzanie danych w systemach operacyjnych banku, w związku z czym, inna jest podstawa prawna tego przetwarzania. W ocenie banku przetwarzanie danych osobowych w ramach kopii zapasowych znajduje podstawę w art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodnie z powyższym przepisem, przetwarzanie danych osobowych jest dopuszczalne w przypadku, gdy „jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.” Bank wyjaśniał również, iż usunięcie danych zawartych w kopiach zapasowych mogłoby polegać jedynie na zniszczeniu wszystkich kopii zapasowych z okresu, w którym dane osobowe Pana A były przetwarzane przez Bank lub poprzez „przegranie” takiej kopii zapasowej z usuniętymi danymi osobowymi. Takie działania pozbawiłyby Bank możliwości odtworzenia stanu systemu informatycznego w określonym dniu, co naruszyłoby bezpieczeństwo informatyczne banku.

• obowiązek tworzenia i przechowywania kopii zapasowych wynika z Rekomendacji D wydanej przez Głównego Inspektora Nadzoru Bankowego, dotyczącej zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki.

Rozpatrując wniosek o ponowne rozpoznanie sprawy, GIODO przyjął, iż dane osobowe Pana A zostały pozyskane przez Bank na podstawie wniosku o kartę kredytową i były przetwarzane przez Bank dla celów związanych z rozpoznaniem wniosku. W konsekwencji, przetwarzanie przedmiotowych danych osobowych znajdowało podstawę w art. 23 ust. 1 pkt 3 ustawy (tj. było niezbędne w celu podjęcia działań przed zawarcie umowy kredytowej). Jednakże, wobec nie zawarcia umowy kredytu, dane te zostały usunięte przez bank z systemu informatycznego. W konsekwencji w ocenie GIODO:

• wobec odpadnięcia podstawy przetwarzania danych osobowych skarżącego przez Bank, w ramach systemu informatycznego, brak również podstaw do dalszego przetwarzania tychże danych w ramach kopii zapasowej. GIODO wskazał także, iż zgodnie z art. 26 ust. 1 pkt 2 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i nie były poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. W ocenie GIODO kopia zapasowa powinna bowiem być odzwierciedleniem rzeczywistego stanu zbioru. W konsekwencji, przetwarzanie danych w kopii zapasowej, w sytuacji, gdy dane te nie są przetwarzane w zbiorze jest sprzeczne z celem, dla którego kopie są tworzone.

• przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące przetwarzaniu danych osobowych (Dz. U. Nr 100, poz. 1024), nie uzasadniają przetwarzania danych osobowych w kopii zapasowej zbioru w sytuacji, gdy danych nie ma w żadnym zbiorze.

• Rekomendacja D wydana przez Głównego Inspektora Nadzoru Bankowego nie stanowi przepisu prawa powszechnie obowiązującego, zatem nie ma ona charakteru wiążącego, tym samym nie ma po stronie Banku prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych w ramach kopii zapasowych.

Bank zaskarżył powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o jej uchylenie. Po rozpatrzeniu sprawy, Wojewódzki Sąd Administracyjny wyrokiem z 16 stycznia 2008r. oddalił skargę Banku. Sąd przychylił się do argumentacji GIODO, wskazując między innymi, iż wobec usunięcia danych osobowych ze zbiorów danych osobowych prowadzonych przez Bank, brak jest podstaw do przetwarzania takich danych osobowych w ramach kopii zapasowych. Sąd zgodził się również ze stanowiskiem GIODO, zgodnie z którym, przetwarzanie danych w kopii zapasowej w sytuacji, gdy nie ma danych w zbiorze, jest sprzeczne z celem, dla którego kopie takie są tworzone.

Zgodnie z uzyskanymi informacjami, od powyższego wyroku Bank złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego. Czekając zatem z niecierpliwością na ostateczne rozstrzygnięcie w tej niezwykle ważnej dla praktyki obrotu gospodarczego sprawie, pozwolę sobie na przedstawienie kilku uwag do dotychczasowych rozstrzygnięć GIODO i Wojewódzkiego Sądu Administracyjnego. W mojej ocenie warto zwrócić uwagę na następujące kwestie:

I. Przetwarzanie danych osobowych jest dopuszczalne wyłącznie w przypadku, gdy administrator danych legitymuje się przynajmniej jedną z przesłanek opisanych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w przypadku danych „zwykłych” przesłanki „legalizujące” przetwarzanie danych wskazane zostały w art. 23 ust. 1 ustawy). Należy przy tym zaznaczyć, iż wszystkie przesłanki legalizujące przetwarzanie danych osobowych zawarte w art. 23 ust. 1 ustawy, mają charakter autonomiczny, równoważny i niezależny od siebie.

A zatem, w zależności od zaistniałej sytuacji, przetwarzanie danych osobowych przez Bank może opierać się zarówno na art. 23 ust. 1 pkt 3 ustawy (tj. przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą), jak również na przepisie art. 23 ust. 1 pkt 5 ustawy (tzw. „klauzula usprawiedliwianego celu”). Wskazane powyżej podstawy przetwarzania danych osobowych są niezależne od siebie, a ewentualny „upadek” jednej z nich, w żaden sposób nie niweczy możliwości przetwarzania danych osobowych w oparciu o drugą z wymienionych podstaw.

W konsekwencji, w mojej ocenie, Sąd powinien ocenić przetwarzanie danych osobowych zapisanych w postaci kopii zapasowych w kontraście klauzuli „usprawiedliwianego celu” (art. 23 ust. 1 pkt 5), badając, w sposób szczegółowy, wszystkie przesłanki zastosowania tegoż przepisu. Z treści orzeczenia Sądu nie wynika jednak, iż poczyniona została tego rodzaju analiza.

II. Z dość niejasnego uzasadnienia orzeczenia wynika, iż w ocenie GIODO przetwarzanie danych osobowych w ramach kopii zapasowych, wykracza poza cele, dla jakich dane osobowe zostały zebrane. Zarówno GIODO, jak i WSA, wskazują na przepis art. 24 ust. 1 pkt 2) ustawy, zgodnie z którym administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były „zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami” (tzw. zasada związania celem).

Wskazać należy, iż GIODO już w swych wcześniejszych wypowiedziach przyjmował, iż „Ukształtowana w przepisie art. 26 ust. 1 pkt 2 jedna z fundamentalnych zasad ochrony danych osobowych, tj. zasada niezmienności celu przetwarzania danych wskazuje, że administrator danych może wykorzystywać informacje znajdujące się w prowadzonych przez niego zbiorach, jedynie w ściśle określonym celu, dla realizacji którego zostały zgromadzone” (Sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych za 2001 r.).

Wydaje się zatem, iż na gruncie omawianego przypadku, GIODO konsekwentnie przyjmuje, iż dane osobowe mogą być przetwarzane wyłącznie w „takich samych” celach, dla jakich zostały zebrane (tj. w analizowanym przypadku wyłącznie „dla celów związanych z rozpoznaniem wniosku”).

W mojej ocenie tak restrykcyjna wykładnia przepisu art. 26 ust. 1 pkt 2) ustawy jest w oczywisty sposób sprzeczna, przede wszystkim z literalnym brzmieniem tegoż przepisu, jak również, nie znajduje uzasadnienia celowościowego. Przepis art. 26 ust. 1 pkt 2) ustawy, stanowi bowiem wprost, iż dane osobowe nie mogą być poddawane dalszemu przetwarzaniu „niezgodnemu” z celami, dla których zostały zebrane. W mojej ocenie przetwarzanie danych osobowych w celach „różniących” się od celu zebrania danych, nie zawsze musi oznaczać, iż cele te są „niezgodne”. Wydaje się bowiem, iż biorąc pod uwagę cel ustawy, „niezgodność” celów zbierania i dalszego przetwarzania danych osobowych, należy rozumieć jako ich „sprzeczność”. Trudno uznać, iż cel przetwarzania danych osobowych w postaci realizacji wniosku o kartę kredytowa, jest nie do pogodzenia, tj. „sprzeczny” z celem w postaci zapewnienia bezpieczeństwa systemu informatycznego banku (stworzenie kopii bezpieczeństwa jest bowiem jednym z elementów polityki bezpieczeństwa banku). Dlatego też, przychylam się do stanowiska, iż w omawianym przypadku nie zachodzi „niezgodność” celu zbierania danych osobowych z celem dalszego przetwarzania.

Oczywiście inną kwestią jest realizacja przez Bank, względem osoby, której dane dotyczą, obowiązku informacyjnego w zakresie celu przetwarzania. Jak się jednak wydaje, kwestia ta nie była przedmiotem decyzji GIODO, ani wyroku WSA.

 III. Zgodnie ze stanem faktycznym przedstawionym w uzasadnieniu wyroku, Bank wskazywał, iż przetwarza dane osobowe w ramach kopii zapasowych na podstawie tzw. „klauzuli usprawiedliwionego celu” (art. 23 ust. 1 pkt 5). Przypomnijmy, zgodnie z powyższym przepisem, przetwarzanie danych osobowych jest dopuszczalne w przypadku, gdy „jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.”

Bank wskazywał przy tym, iż obowiązek sporządzania i przechowywania tego rodzaju kopii zapasowych wynika z Rekomendacji D wydanej przez Głównego Inspektora Nadzoru Bankowego (dot. zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanymi przez banki). Z kolei, jak zostało to przedstawione powyżej, GIODO w odpowiedzi na przedstawioną argumentację stwierdził, iż „Rekomendacja nie stanowi przepisu prawa powszechnie obowiązującego, zatem nie ma ona charakteru wiążącego, tym samym nie ma po stronie Banku prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych ww. zawartych w kopiach”.

A zatem, na gruncie omawianego orzeczenia, po raz kolejny spotykamy się z niezwykle praktycznym pytaniem, czy o „prawnie usprawiedliwionym celu” możemy mówić wyłącznie w przypadku, gdy został on określony w jakimś akcie normatywnym ?

Należy zwrócić uwagę, iż GIODO już we wcześniejszych dokumentach przyjmował, iż „o usprawiedliwionym celu administratora danych można mówić jedynie wówczas, gdy został on uprzednio określony w akcie normatywnym” (Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych za 2006 r.).

Niemniej jednak w literaturze przedmiotu powszechnie przyjmuje się, iż „nie jest chyba zasadne interpretowanie omawianej przesłanki w ten sposób, aby o prawnie usprawiedliwionych celach można było mówić tylko wówczas, gdy zostały uprzednio określone w akcie normatywnym”. Komentatorzy wskazują, przy tym, iż z jednej strony „cel przetwarzania danych musi być usprawiedliwiony prowadzoną działalnością administratora lub odbiorcy danych, a z drugiej strony działalność ta nie może być w jakiejkolwiek mierze niezgodna z prawem, zasadami współżycia społecznego, czy dobrymi obyczajami” (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze 2004, str. 512).

W mojej ocenie, nie można zgodzić się z reprezentowanym przez GIODO stanowiskiem, iż „prawnie usprawiedliwiony cel” to wyłącznie „cel” znajdujący podstawę w przepisach prawa (określony w przepisach prawa). Taka interpretacja zakłada bowiem, iż przepis art. 23 ust. 1 pkt 5 ustawy stanowi podstawę przetwarzania danych osobowych wyłącznie w przypadkach wskazanych w przepisach prawa. Należy jednak zwrócić uwagę, iż ustawa przewiduje odrębną przesłankę przetwarzania danych w celu realizacji „uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa” (art. 23 ust. 1 pkt 2 ustawy).

W konsekwencji przyjęcie wykładni proponowanej przez GIODO prowadziłoby do wniosku, iż ustawodawca w dwóch kolejnych przepisach de facto reguluje tę samą podstawę przetwarzania danych osobowych. Jak się wydaje wykładania taka byłby sprzeczna z zasadną racjonalności ustawodawcy.

VI. Należy zgodzić się ze stanowiskiem GIODO, iż celem regulacji dotyczącej sporządzania kopii zapasowych, zawartej w rozporządzeniu wykonawczym, jest zabezpieczenie danych osobowych przetwarzanych w zbiorach danych (systemach informatycznych). W ujęciu rozporządzenia wykonawczego, sporządzenie kopii bezpieczeństwa jest jednym ze środków zapewnienia bezpieczeństwa przetwarzania danych osobowych.

Z powyższych okoliczności nie można jednak wyciągać wniosku, iż nie jest dopuszczalne sporządzanie kopii zapasowych obejmujących dane osobowe dla innych celów niż zabezpieczenie przetwarzania samych danych osobowych. Wydaje się, iż w omawianym przypadku celem sporządzenia kopii bezpieczeństwa jest nie tyle „zabezpieczenie danych osobowych”, co „zapewnienie bezpieczeństwa informatycznego banku”.

W omawianym przypadku sporządzenie kopii bezpieczeństwa ma umożliwić odtworzenie stanu systemu informacyjnego banku z danej chwili w przeszłości (np. w celu analizy stanu systemu informatycznego w przypadku włamania lub nielegalnych transakcji). Dokonanie jakichkolwiek zmian w zapisanej kopii zapasowej (np. poprzez usunięcie zapisu dotyczącego danych osobowych), de facto uniemożliwiałoby odtworzenie „takiego samego” stanu systemu informatycznego. Co więcej, mogłoby wiązać się z utratą wartości dowodowej uprzednio sporządzonej kopii zapasowej. W konsekwencji, w mojej ocenie w omawianym przypadku, bank posiada „uzasadniony cel” przetwarzania danych osobowych, w postaci zapewnienia bezpieczeństwa systemu informatycznego. Wydaje się, iż trudno byłoby przyjąć, że przetwarzanie danych osobowych wyłącznie w ramach kopii bezpieczeństwa, narusza „prawa” lub „wolności” osób, których dane dotyczą.

Przyjmuję zatem, iż klauzula „usprawiedliwionego celu” może stanowić podstawę przetwarzania danych osobowych w ramach kopii zapasowych, nawet w przypadku gdy dane takie nie są już przetwarzane w ramach działalności operacyjnej banku.

Tyle spostrzeżeń, po przeczytaniu powyższego orzeczenia. Pozostaje cierpliwe oczekiwać na ostateczne rozstrzygnięcie.

 Roman Bieda

PS.

Gdyby, któryś z czytelników naszego bloga dysponował informacjami o dalszych losach sprawy, to proszę o kontakt. Bardzo ciekawy jestem jak zakończy się ta sprawa.