Czarna lista klientów a RODO. Kiedy działa, kiedy jest niezgodna z prawem
Share
Firma prowadzi wewnętrzną listę klientów którym już nie chce świadczyć usług. Brzmi sensownie. Prawnie – jest to jedno z najbardziej ryzykownych narzędzi biznesowych z perspektywy RODO. Bo czarna lista i RODO to naturalni wrogowie.
Praktyka jest powszechna w wielu branżach. Hotele mają listę gości którzy demolowali pokoje. Restauracje – listę klientów którzy nie płacili rachunków albo urządzali awantury. Sklepy internetowe – listę adresów mailowych z których szły oszukańcze zamówienia. Firmy usługowe – listę klientów którym już nie chcą sprzedawać ze względu na wcześniejsze doświadczenia.
Każda z tych list z perspektywy biznesowej ma sens. Firma chce się chronić przed problemami które już się kiedyś zdarzyły.
Z perspektywy RODO każda z tych list to zaproszenie do kontroli. Nie dlatego że są automatycznie nielegalne – dlatego że łatwo je zrobić w sposób który narusza podstawowe zasady rozporządzenia.
Dlaczego czarna lista i RODO są naturalnymi wrogami
Trzeba to nazwać wprost.
RODO opiera się na zasadzie ograniczenia przechowywania z art. 5 ust. 1 lit. e. Dane osobowe przechowuje się przez okres nie dłuższy niż jest to niezbędne do celów dla których są przetwarzane.
Czarna lista z definicji zakłada coś zupełnie odwrotnego – trzymanie danych o kimś w nieskończoność. "Na zawsze, bo a nuż wróci."
"Wieczne przechowywanie" to jedno z tych sformułowań których RODO nienawidzi najbardziej. Bo w RODO dane trzymasz tak długo jak masz konkretny cel do zrealizowania. Nie "na wszelki wypadek." Nie "bo może się przydać." Konkretny, udokumentowany, aktualny cel.
Czarna lista bez końca sama w sobie nie ma takiego celu. Ma nadzieję że kiedyś się przyda. To jest zupełnie inna kategoria.
Kiedy czarna lista ma sens prawny
Nie każda czarna lista jest z góry nielegalna. Są sytuacje w których uzasadnienie do trzymania kogoś na liście istnieje.
Konkretne naruszenie ze strony klienta.
Ktoś zdemolował pokój. Ukradł produkt ze sklepu. Złamał regulamin usługi. Popełnił przestępstwo w związku z korzystaniem z usług firmy.
W takich sytuacjach firma ma realny, konkretny, obronialny interes w tym żeby ta konkretna osoba nie mogła w przyszłości korzystać z jej usług. Uzasadniony interes administratora z art. 6 ust. 1 lit. f RODO może być podstawą do trzymania danych tej osoby na wewnętrznej liście osób którym firma odmówi zawarcia umowy.
Toczące się postępowanie – sądowe, karne, cywilne.
Firma pozwała klienta o odszkodowanie. Klient jest w toku postępowania karnego związanego z działaniem wobec firmy. Firma dochodzi swoich roszczeń w postępowaniu cywilnym.
Wtedy trzymanie danych osoby ma podstawę – art. 6 ust. 1 lit. f RODO, uzasadniony interes w postaci dochodzenia lub obrony roszczeń. Ta podstawa działa tak długo jak trwa postępowanie plus okresy przedawnienia po jego zakończeniu.
Ryzyko powtórzenia się poważnego naruszenia.
Osoba która oszukała firmę raz, może próbować ponownie. Osoba która ukradła w sklepie może wrócić. Osoba która naruszyła regulamin w hotelu może chcieć zarezerwować kolejny pobyt.
Tu również jest miejsce na uzasadniony interes – z zastrzeżeniem że interes ten nie może przeważać nad prawami tej konkretnej osoby, co musi być ocenione indywidualnie.
We wszystkich tych sytuacjach kluczowe jest jedno – każdy wpis na czarnej liście musi mieć konkretne uzasadnienie dla tej konkretnej osoby. Nie "polityka firmy" tylko konkretny fakt który daje firmie podstawę do dalszego przetwarzania danych.
Gdzie zaczyna się problem
Praktyka odbiega od teorii często bardzo daleko.
Wpis bez naruszenia.
Klient nie złamał regulaminu, nie ukradł, nie zdemolował, nie oszukał. Po prostu narobił firmie problemów – złożył negatywną opinię, opublikował krytyczny materiał, napisał skargę do UOKiK, doprowadził do sporu który firma przegrała.
W takich sytuacjach uzasadniony interes w trzymaniu danych osoby na czarnej liście jest bardzo trudny do obronienia. Bo klient nie zrobił niczego z czym firma powinna się chronić w przyszłości. Zrobił coś co firmie się nie podobało – to nie to samo.
Wpis "na wszelki wypadek."
Klient został oznaczony jako "problemowy" bo raz się poskarżył. Bo zbyt długo trwała rozmowa z obsługą. Bo próbował negocjować cenę. Bo zwrócił produkt zgodnie z prawem do odstąpienia od umowy.
Żadne z tych zachowań nie jest naruszeniem. Wpis na czarną listę na tej podstawie nie ma uzasadnienia w RODO.
Lista bez końca.
Klient popełnił rzeczywiste naruszenie 12 lat temu. Nadal jest na czarnej liście. Czy firma nadal ma uzasadniony interes w trzymaniu jego danych?
W większości przypadków nie. Interes chroniący przed powtórzeniem naruszenia ma swoje granice czasowe. Firma powinna mieć politykę retencji która określa jak długo osoba zostaje na liście po naruszeniu i po jakim czasie zostaje z niej usunięta.
Test proporcjonalności – najważniejsze pytanie
Uzasadniony interes administratora z art. 6 ust. 1 lit. f RODO nigdy nie jest bezwarunkowy. Zawsze musi być zbalansowany z prawami i wolnościami osoby której dane dotyczą.
Test proporcjonalności odpowiada na trzy pytania.
Czy interes firmy jest realny i uzasadniony?
Firma która chroni się przed powtórzeniem szkody którą już poniosła – ma interes realny. Firma która "przechowuje na wszelki wypadek" – ma interes nieskonkretyzowany.
Czy dane są niezbędne do realizacji tego interesu?
Trzymanie imienia, nazwiska i informacji o naruszeniu – może być niezbędne. Trzymanie pełnego profilu klienta z historią wszystkich transakcji, danymi rodziny, preferencjami – nie jest niezbędne do celu "chronienia się przed powrotem tej osoby."
Czy interes firmy nie przeważa nad prawami osoby?
Trzymanie na czarnej liście osoby która demolowała pokój hotelowy – interes firmy przeważa nad jej interesem korzystania z tego konkretnego hotelu. Trzymanie na czarnej liście osoby która napisała negatywną recenzję – interes firmy w karaniu za krytykę nie przeważa nad wolnością wypowiedzi.
Test proporcjonalności musi być udokumentowany. Jeśli firma trzyma czarną listę na podstawie uzasadnionego interesu – powinna mieć dokument który przeprowadza ten test dla polityki listy jako całości oraz dla każdego indywidualnego wpisu.
Jedyna furtka gdy nie ma naruszenia – toczący się spór
Jest jedna sytuacja w której firma może uzasadnić trzymanie danych konkretnej osoby mimo że osoba ta nie naruszyła regulaminu.
Toczący się spór prawny.
Firma może pozywać klienta o naruszenie dobrego imienia, o naruszenie renomy, o inne szkody. Osoba prawna ma dobra osobiste jak osoba fizyczna – dobre imię, reputację, prawo do niezakłóconego funkcjonowania. Naruszenie tych dóbr może być podstawą roszczeń.
Jeśli firma faktycznie idzie do sądu z konkretnym klientem – trzymanie danych tej osoby na potrzeby postępowania sądowego ma podstawę w art. 6 ust. 1 lit. f RODO. Uzasadniony interes w dochodzeniu roszczeń jest jednym z klasycznych przykładów tego przepisu.
Ale to jest bardzo wąska furtka.
Tłumaczy trzymanie danych tej jednej osoby. Nie rozciąga się na całą czarną listę.
Ma ograniczony czas. Tak długo jak trwa postępowanie plus okresy przedawnienia po jego zakończeniu.
Ma ograniczony zakres. Tylko dane potrzebne do postępowania – nie cały profil klienta.
Wymaga rzeczywistego postępowania. Nie "planujemy pozwać" tylko "pozew został złożony i sprawa jest w toku."
Firma która próbuje uzasadnić trzymanie całej czarnej listy przez to że z jedną osobą jest w sporze – nie obroni tej argumentacji.
Sedno różnicy
W RODO chodzi o dwa kompletnie różne scenariusze które wyglądają podobnie ale są prawnie odległe o kilometry.
Czarna lista dla jednej osoby z którą firma ma realny, konkretny, udokumentowany spór albo od której doznała rzeczywistej szkody – obroni się. Bo istnieje konkretny cel przetwarzania danych tej osoby.
Czarna lista "na wszelki wypadek" na której ląduje każdy kto się firmie nie spodobał – to już nie ochrona interesu. To zbieranie danych bez celu. Za to płaci się karę z art. 83 RODO, nie klient który się poskarżył.
Różnica między tymi dwoma scenariuszami nie polega na skali. Polega na tym czy dla każdego wpisu istnieje konkretne uzasadnienie oparte na rzeczywistym fakcie – a nie na przypuszczeniu, obawie albo urazie.
Co konkretnie zrobić jeśli macie czarną listę
Jeśli Twoja firma prowadzi jakąkolwiek formę wewnętrznej listy klientów – warto przejść przez trzy pytania.
Pytanie pierwsze: dla każdej osoby na liście, jaki jest konkretny powód wpisania?
Powód musi być konkretny i udokumentowany. "Klient zdemolował pokój w dniu X, koszt szkody Y, mamy dokumentację" – konkretnie. "Klient jest problematyczny" – nie jest konkretnie.
Pytanie drugie: jak długo dana osoba pozostaje na liście?
Musi istnieć jasna polityka retencji. Nie "na zawsze." Konkretny okres związany z celem – 3 lata, 5 lat, do zakończenia postępowania. Z uzasadnieniem dlaczego akurat taki okres.
Pytanie trzecie: czy osoba na liście została o tym poinformowana?
Zgodnie z RODO ma prawo wiedzieć że jej dane są przetwarzane w tym celu. Nie musisz jej wysyłać dedykowanego zawiadomienia ale klauzula informacyjna firmy powinna wspominać o istnieniu takiej listy jako celu przetwarzania danych. Osoba wpisana na listę ma też prawo złożyć sprzeciw wobec przetwarzania.
Jeśli odpowiedź na którekolwiek pytanie brzmi "nie wiem" albo "nie mamy tego uregulowanego" – prawdopodobieństwo że lista jest niezgodna z RODO jest wysokie.
Praktyczna alternatywa dla czarnej listy
W wielu przypadkach firma która chce się chronić przed powtórzeniem problemu może użyć innych narzędzi które są mniej ryzykowne prawnie.
Klauzula w regulaminie o prawie odmowy usługi.
Regulamin firmy może zawierać zapis że firma ma prawo odmówić świadczenia usługi bez podania przyczyny. Wtedy odmowa nie wymaga uzasadnienia w postaci wpisu na czarną listę – wynika z ogólnej swobody kontraktowej.
Ograniczenie: nie wolno odmawiać z powodów zakazanych przez prawo – dyskryminacja ze względu na płeć, wiek, pochodzenie, wyznanie i inne cechy chronione.
Wymogi zaliczki lub kaucji dla nowych klientów.
Zamiast utrzymywać czarną listę, firma może wymagać zabezpieczenia finansowego które chroni ją przed potencjalną szkodą. To jest neutralne wobec konkretnych osób i nie wymaga trzymania danych "problemowych klientów."
Aktywna ochrona prawna przy konkretnych naruszeniach.
Gdy dochodzi do faktycznego naruszenia – firma dochodzi swoich praw. Zgłasza szkodę, pozywa, wnosi o odszkodowanie. To buduje historię formalnego reagowania która jest bardziej wartościowa niż nieformalna czarna lista.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.