Usunięcie danych a obowiązki informacyjne administratora to zagadnienie, które w praktyce bardzo często bywa upraszczane do hasła „prawo do bycia zapomnianym”. Z mojego doświadczenia wynika jednak, że samo usunięcie danych to dopiero część obowiązku, a nie jego koniec.
Jeżeli administrator usuwa dane osobowe, musi pamiętać, że RODO wymaga przejrzystości działań. Osoba, której dane dotyczą, powinna wiedzieć, co faktycznie stało się z jej danymi, na jakiej podstawie zostały usunięte oraz czy usunięcie ma charakter całkowity, czy ograniczony. Obowiązek informacyjny nie znika tylko dlatego, że dane przestały być przetwarzane.
Szczególne znaczenie ma sytuacja, w której usunięcie danych następuje na żądanie osoby, na podstawie art. 17 RODO. W takim przypadku administrator ma obowiązek poinformować o podjętych działaniach, a jeżeli odmawia usunięcia danych, musi jasno wskazać podstawę prawną takiej decyzji. Brak odpowiedzi albo odpowiedź ogólnikowa jest w praktyce traktowana jak naruszenie obowiązków administratora.
Warto też pamiętać, że usunięcie danych nie zawsze oznacza ich fizyczne zniszczenie we wszystkich systemach. Część danych może być nadal przetwarzana w zakresie niezbędnym do wypełnienia obowiązków prawnych, np. archiwizacji czy rozliczeń. W takich przypadkach administrator ma obowiązek poinformować osobę, że dane nie zostały usunięte w pełnym zakresie oraz dlaczego jest to niemożliwe.
Z perspektywy RODO kluczowe jest więc nie tylko to, czy dane zostały usunięte, ale czy administrator potrafi wyjaśnić i udokumentować cały proces. To właśnie połączenie działania i informacji stanowi realizację zasady rozliczalności i przejrzystości.
Spis treści
O co pytają osoby fizyczne?
Zgodnie z RODO osoby fizyczne mają prawo uzyskać informacje na temat przetwarzania swoich danych osobowych – również wtedy, gdy dane te zostały już usunięte. Często spotykamy się z pytaniami typu:
- Czy administrator nadal przetwarza moje dane
- Czy może mi wskazać, kiedy je usunął?
- Czy powinien przechowywać informację o tym, że dane kiedyś istniały?
Na pierwszy rzut oka mogłoby się wydawać, że administrator powinien pozostawić po sobie „ślad” przetwarzania danych. Jednak z perspektywy RODO – jeśli dane zostały usunięte zgodnie z przepisami, administrator nie powinien mieć możliwości ich późniejszej identyfikacji.
Zasada rozliczalności a obowiązek dokumentowania przetwarzania
Zasada rozliczalności (art. 5 ust. 2 RODO) zobowiązuje administratora do tego, aby „był w stanie wykazać przestrzeganie” wszystkich zasad określonych w art. 5 ust. 1 RODO. W praktyce realizuje się to poprzez dokumentację wewnętrzną, rejestr czynności przetwarzania, polityki retencji i audyty.
Nie oznacza to jednak, że administrator powinien przechowywać informacje o każdym przetwarzaniu po jego zakończeniu – zwłaszcza jeśli cel przetwarzania został zrealizowany, a dane zostały zgodnie z przepisami usunięte.
Co mówi RODO o usunięciu danych osobowych?
Zgodnie z art. 17 ust. 1 RODO (prawo do usunięcia danych – „prawo do bycia zapomnianym”), osoba, której dane dotyczą, ma prawo żądać od administratora ich usunięcia bez zbędnej zwłoki, a administrator ma obowiązek je usunąć, jeżeli zachodzi jedna z przesłanek:
Art. 17 ust. 1 RODO
„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z poniższych okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (…), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw (…), i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego (…);
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku.”
W praktyce, jeśli którakolwiek z tych przesłanek występuje, administrator ma obowiązek całkowicie i trwale usunąć dane. Nie może ich dalej przetwarzać, nawet w formie „informacji archiwalnej” wskazującej, że dane kiedykolwiek istniały.
Art. 11 RODO – kiedy administrator nie musi (i nie może) identyfikować osoby
Kluczowe znaczenie ma art. 11 RODO, który przewiduje wyjątki od obowiązku dalszego przetwarzania danych po ich usunięciu:
Art. 11 ust. 1 RODO
„Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub przestały wymagać zidentyfikowania osoby, której dane dotyczą, administrator nie jest zobowiązany do utrzymywania, uzyskiwania ani przetwarzania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, aby zastosować się do niniejszego rozporządzenia.”
Art. 11 ust. 2 RODO
„Jeżeli w przypadkach, o których mowa w ust. 1 niniejszego artykułu, administrator jest w stanie wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, informuje o tym osobę, której dane dotyczą, jeśli to możliwe. W takich przypadkach artykuły 15–20 nie mają zastosowania, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów, dostarczy dodatkowych informacji pozwalających ją zidentyfikować.”
Oznacza to, że administrator nie powinien przechowywać danych, które pozwalają mu potwierdzić, że kiedyś przetwarzał dane konkretnej osoby – jeśli przetwarzanie już nie ma podstawy prawnej.
Odpowiedź na żądanie osoby, której dane zostały usunięte
Zgodnie z art. 12 ust. 4 RODO:
„Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, informuje ją bez zbędnej zwłoki – najpóźniej w terminie miesiąca od otrzymania żądania – o powodach niezrealizowania żądania oraz o możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem.”
W przypadku gdy dane zostały już trwale usunięte i administrator nie jest w stanie zidentyfikować osoby, której dane dotyczą, obowiązkiem administratora jest:
- poinformować, że dane nie są już przetwarzane,
- wskazać, że nie ma możliwości ich identyfikacji (na podstawie art. 11 ust. 1–2 RODO),
- podać podstawę prawną niezrealizowania żądania (art. 12 ust. 4 RODO),
- poinformować o prawie do złożenia skargi do Prezesa UODO.
Dobre praktyki dla administratorów danych
Aby uniknąć nieporozumień i działać zgodnie z zasadą rozliczalności, rekomendowane są następujące działania:
- Wdrożenie polityki retencji danych – dokumentującej cykl życia danych i moment ich usunięcia,
- Stworzenie procedury obsługi żądań osób, których dane zostały już usunięte,
- Utrzymywanie rejestru przetwarzania czynności zgodnie z art. 30 RODO – ale bez informacji umożliwiających identyfikację osoby po usunięciu jej danych,
- Regularne audyty przetwarzania danych, by upewnić się, że dane są przechowywane wyłącznie tak długo, jak jest to konieczne.
Podsumowanie
RODO nie wymaga od administratora przechowywania danych w nieskończoność – przeciwnie, nakłada obowiązek ich usuwania, gdy przestają być potrzebne. W świetle art. 11 RODO, administrator nie powinien utrzymywać żadnych informacji, które pozwalałyby zidentyfikować osobę, której dane zostały już usunięte.
Brak danych w takim przypadku jest wyrazem zgodności z prawem, a nie jej naruszeniem.
Zgodne z RODO działanie oznacza czasem, że administrator nie może pomóc osobie, ponieważ już nie ma jej danych.
Jeśli jesteś administratorem danych osobowych lub odpowiadasz za zgodność z RODO w swojej organizacji, zapraszamy do skorzystania z naszego SZKOLENIE ADMINISTRATOR.
Sprawdź:
Potrzebujesz pomocy w zgłoszeniu naruszenia ochrony danych osobowych? Napisz do nas pomożemy!
