Jak długo administrator i inne podmioty mogą przetwarzać moje dane osobowe?

Podczas podpisywania umów często wyrażamy zgodę na przetwarzanie danych osobowych nie tylko przez stronę umowy ale też przez jej partnerów czy inne firmy. Czy firma z którą zakończyłam umowę kredytową automatycznie nie może już przetwarzać danych? Czy i jak mogę cofnąć taką zgodę? I co z firmami, którym zostały one w ramach umowy udostępnione - czy one również nie mają już prawa tych danych przetwarzać? Jak dowiedzieć się, kto otrzymał nasze dane?

Pytanie od: kasix


Nasz ekspert odpowiada

Przy zawieraniu różnego rodzaju umów często wyrażamy zgodę na przetwarzanie naszych danych osobowych np. w celu realizacji świadczeń niezwiązanych z przedmiotem umowy, takich jak prowadzenie działań marketingowych. Wyrażenie zgody na przetwarzanie danych osobowych upoważnia zatem administratora do dokonywania operacji na danych osobowych, jak np. utrwalania, porządkowania, modyfikowania, wykorzystywania czy rozpowszechniania przekazanych do jego dyspozycji danych. Zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej: „RODO”) przetwarzanie danych osobowych musi odbywać się z poszanowaniem określonych zasad, m.in. zasady rzetelności i legalności, ograniczenia celu, minimalizacji danych, ograniczenia przetwarzania, integralności i poufności.

Przedstawione pytania zmierzają de facto do ustalenia jak długo administrator danych i inne podmioty mogą przetwarzać nasze dane osobowe, które przekazaliśmy przy okazji zawierania umowy. Aby na nie odpowiedzieć należy się odnieść do zasady ograniczenia czasowego – limituje ona bowiem okres przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. e) RODO dane osobowe mogą być przetwarzane tak długo, jak jest to konieczne dla celów, w których są przetwarzane. W przypadku umów, obok głównego celu jakim jest realizacja przedmiotu umowy, często pojawiają się dodatkowe świadczenia lub obowiązki, które mogą uzasadniać przetwarzanie naszych danych osobowych nawet po wykonaniu umowy (np. gdy wyraziliśmy zgodę na przetwarzanie naszych danych osobowych dla celów marketingowych). Nierzadko konieczność przetwarzania danych osobowych wynika wprost z przepisów.  Jako przykład można wskazać obowiązek przechowywania danych przez banki i inne instytucje finansowe podlegające przepisom ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, przez okres 5 lat, począwszy od pierwszego dnia roku następującego po roku, w którym przeprowadzono transakcję z klientem. Powyższy obowiązek dotyczy przechowywania danych identyfikacyjnych klientów w związku ze stosowaniem środków bezpieczeństwa finansowego koniecznych ze względu na ryzyko prania pieniędzy lub finansowania terroryzmu. Inny wyjątek wynika z art. 105 ust. 4 ustawy Prawo bankowe, który przyznaje bankom i instytucjom finansowym prawo do przetwarzania informacji stanowiących tajemnicę bankową (a więc również danych osobowych) przez 5 lat od wygaśnięcia zobowiązania bez zgody klienta, jeśli nie wykonał on zobowiązania lub dopuścił się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub instytucją finansową, a ponadto upłynęło 30 dni od zawiadomienia klienta o tym, że jego dane będą przetwarzane bez jego zgody. Ten sam przepis uprawnia również do przetwarzania danych osobowych klientów w określonych przypadkach nawet przez 12 lat (np. w celach statystycznych). Ponadto, przepisy Ordynacji podatkowej i ustawy z dn. 29 września 1994 r. o rachunkowości nakładają obowiązek przechowywania dokumentacji finansowo-księgowej co do zasady przez 5 lat, jednak nie krócej niż do czasu upływu okresu przedawnienia zobowiązania podatkowego – w tym czasie instytucja, z którą zawarliśmy umowę będzie więc upoważniona do przetwarzania naszych danych osobowych.

Reasumując, w pewnych sytuacjach dane osobowe, które przekazaliśmy przy okazji zawierania umowy, mogą być przetwarzane przez drugą stronę nawet po zrealizowaniu lub wygaśnięciu umowy. Obowiązek taki zwykle wynika z obowiązujących przepisów (np. podatkowych lub prawa bankowego). Wówczas, nie mamy wpływu na przetwarzanie naszych danych osobowych i nie możemy się mu sprzeciwić.

Wycofanie zgody na przetwarzanie danych osobowych


Inaczej sytuacja kształtuje się, gdy nasze dane są przetwarzane w oparciu o zgodę, jaką uprzednio wyraziliśmy. Należy bowiem pamiętać, że zgodnie z art. 7 ust. 3 RODO podmiot danych osobowych ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych poprzez złożenie stosownego oświadczenia. Administrator powinien wtedy zaprzestać ich przetwarzania, chyba że jest w stanie wykazać istnienie innej podstawy prawnej upoważniającej go do przetwarzania danych osobowych lub też cel przetwarzania został już zrealizowany. Przykładowo, zgoda na przetwarzanie danych osobowych na potrzeby działalności marketingowej może być cofnięta, podczas gdy zgoda dotycząca udostępnienia danych w celu weryfikacji wniosku kredytowego i zdolności kredytowej nie może być skutecznie odwołana, ponieważ działanie to już przeprowadzono, a zatem cel został osiągnięty. Innymi słowy, cofnięcie zgody na przetwarzanie danych osobowych wywołuje skutki na przyszłość, nie wpływając na legalność przetwarzania do momentu cofnięcia zgody.

Warto w tym miejscu zaznaczyć, że w przypadku cofnięcia zgody podmiot danych ma prawo zażądać od administratora niezwłocznego usunięcia dotyczących go danych osobowych. Niemniej jednak trudno udzielić jednoznacznej odpowiedzi na pytanie, czy w razie cofnięcia zgody firmy, którym dane zostały udostępnione w ramach zawartej umowy, mogą je dalej przetwarzać, albowiem z przedstawionych informacji nie wynika, na jakiej podstawie prawnej firmy te przetwarzają dane osobowe.

Jak uzyskać informacje jakie inne podmioty oprócz administratora przetwarzają dane osobowe?

Z kolei w celu uzyskania wiedzy na temat innych podmiotów, które przetwarzają nasze dane osobowe, można zwrócić się do administratora z żądaniem udzielenia przedmiotowych informacji, a w szczególności wskazania, komu nasze dane zostały przekazane i w jakim celu. Należy też zaznaczyć, że jeśli administrator upublicznił wcześniej innemu podmiotowi dane, które mają zostać usunięte na skutek cofnięcia zgody na przetwarzanie danych osobowych, to powinien on poinformować o tym żądaniu również administratorów, którzy te dane przetwarzają (zob. art. 17 ust. 2 RODO). Obowiązkiem administratora jest poza tym powiadomienie o usunięciu danych osobowych każdego odbiorcy, któremu ujawnił wcześniej dane osoby zgłaszającej żądanie ich usunięcia. Z wymogu tego administrator jest zwolniony jedynie, gdy okaże się to niemożliwe lub będzie pociągało za sobą niewspółmiernie duży wysiłek (zob. art. 19 RODO).  

5
/ 5
(liczba głosów: 
2
)
Twoja ocena

Bardzo prawdopodobne, że odpowiedź na nurtujące cię pytanie znajduje się już w naszej bazie. Sprawdź to! W tym celu w okienku poniżej opisz hasłowo swój problem – postaraj się ograniczyć do trzech–czterech słów. Jeżeli wynik będzie negatywny, zadaj pytanie, korzystając z formularza.

Zadaj pytanie

Nasi eksperci dołożą wszelkich starań, aby szybko odpowiedzieć na Twoje pytanie. Mimo to w niektórych przypadkach czas oczekiwania na odpowiedź może wynosić od kilku do kilkunastu dni. Redakcja zastrzega sobie prawo niepublikowania pytań zadawanych wielokrotnie lub tych, na które odpowiedzi pojawiły się już w serwisie.

Nasi Partnerzy

logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo

Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Więcej informacji znajdziesz w naszej Polityce cookies

Ok, rozumiem.