Spis treści
O co pytają osoby fizyczne?
Zgodnie z RODO osoby fizyczne mają prawo uzyskać informacje na temat przetwarzania swoich danych osobowych – również wtedy, gdy dane te zostały już usunięte. Często spotykamy się z pytaniami typu:
- Czy administrator nadal przetwarza moje dane
- Czy może mi wskazać, kiedy je usunął?
- Czy powinien przechowywać informację o tym, że dane kiedyś istniały?
Na pierwszy rzut oka mogłoby się wydawać, że administrator powinien pozostawić po sobie „ślad” przetwarzania danych. Jednak z perspektywy RODO – jeśli dane zostały usunięte zgodnie z przepisami, administrator nie powinien mieć możliwości ich późniejszej identyfikacji.
Zasada rozliczalności a obowiązek dokumentowania przetwarzania
Zasada rozliczalności (art. 5 ust. 2 RODO) zobowiązuje administratora do tego, aby „był w stanie wykazać przestrzeganie” wszystkich zasad określonych w art. 5 ust. 1 RODO. W praktyce realizuje się to poprzez dokumentację wewnętrzną, rejestr czynności przetwarzania, polityki retencji i audyty.
Nie oznacza to jednak, że administrator powinien przechowywać informacje o każdym przetwarzaniu po jego zakończeniu – zwłaszcza jeśli cel przetwarzania został zrealizowany, a dane zostały zgodnie z przepisami usunięte.
Co mówi RODO o usunięciu danych osobowych?
Zgodnie z art. 17 ust. 1 RODO (prawo do usunięcia danych – „prawo do bycia zapomnianym”), osoba, której dane dotyczą, ma prawo żądać od administratora ich usunięcia bez zbędnej zwłoki, a administrator ma obowiązek je usunąć, jeżeli zachodzi jedna z przesłanek:
Art. 17 ust. 1 RODO
„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z poniższych okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (…), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw (…), i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego (…);
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku.”
W praktyce, jeśli którakolwiek z tych przesłanek występuje, administrator ma obowiązek całkowicie i trwale usunąć dane. Nie może ich dalej przetwarzać, nawet w formie „informacji archiwalnej” wskazującej, że dane kiedykolwiek istniały.
Art. 11 RODO – kiedy administrator nie musi (i nie może) identyfikować osoby
Kluczowe znaczenie ma art. 11 RODO, który przewiduje wyjątki od obowiązku dalszego przetwarzania danych po ich usunięciu:
Art. 11 ust. 1 RODO
„Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub przestały wymagać zidentyfikowania osoby, której dane dotyczą, administrator nie jest zobowiązany do utrzymywania, uzyskiwania ani przetwarzania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, aby zastosować się do niniejszego rozporządzenia.”
Art. 11 ust. 2 RODO
„Jeżeli w przypadkach, o których mowa w ust. 1 niniejszego artykułu, administrator jest w stanie wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, informuje o tym osobę, której dane dotyczą, jeśli to możliwe. W takich przypadkach artykuły 15–20 nie mają zastosowania, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów, dostarczy dodatkowych informacji pozwalających ją zidentyfikować.”
Oznacza to, że administrator nie powinien przechowywać danych, które pozwalają mu potwierdzić, że kiedyś przetwarzał dane konkretnej osoby – jeśli przetwarzanie już nie ma podstawy prawnej.
Odpowiedź na żądanie osoby, której dane zostały usunięte
Zgodnie z art. 12 ust. 4 RODO:
„Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, informuje ją bez zbędnej zwłoki – najpóźniej w terminie miesiąca od otrzymania żądania – o powodach niezrealizowania żądania oraz o możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem.”
W przypadku gdy dane zostały już trwale usunięte i administrator nie jest w stanie zidentyfikować osoby, której dane dotyczą, obowiązkiem administratora jest:
- poinformować, że dane nie są już przetwarzane,
- wskazać, że nie ma możliwości ich identyfikacji (na podstawie art. 11 ust. 1–2 RODO),
- podać podstawę prawną niezrealizowania żądania (art. 12 ust. 4 RODO),
- poinformować o prawie do złożenia skargi do Prezesa UODO.
Dobre praktyki dla administratorów danych
Aby uniknąć nieporozumień i działać zgodnie z zasadą rozliczalności, rekomendowane są następujące działania:
- Wdrożenie polityki retencji danych – dokumentującej cykl życia danych i moment ich usunięcia,
- Stworzenie procedury obsługi żądań osób, których dane zostały już usunięte,
- Utrzymywanie rejestru przetwarzania czynności zgodnie z art. 30 RODO – ale bez informacji umożliwiających identyfikację osoby po usunięciu jej danych,
- Regularne audyty przetwarzania danych, by upewnić się, że dane są przechowywane wyłącznie tak długo, jak jest to konieczne.
Podsumowanie
RODO nie wymaga od administratora przechowywania danych w nieskończoność – przeciwnie, nakłada obowiązek ich usuwania, gdy przestają być potrzebne. W świetle art. 11 RODO, administrator nie powinien utrzymywać żadnych informacji, które pozwalałyby zidentyfikować osobę, której dane zostały już usunięte.
Brak danych w takim przypadku jest wyrazem zgodności z prawem, a nie jej naruszeniem.
Zgodne z RODO działanie oznacza czasem, że administrator nie może pomóc osobie, ponieważ już nie ma jej danych.
Jeśli jesteś administratorem danych osobowych lub odpowiadasz za zgodność z RODO w swojej organizacji, zapraszamy do skorzystania z naszego SZKOLENIE ADMINISTRATOR.
Sprawdź:
Potrzebujesz pomocy w zgłoszeniu naruszenia ochrony danych osobowych? Napisz do nas pomożemy!
Sprawdź naszą ofertę!
Ostatnie wpisy
Masz pytanie?
Napisz do nas
O nas
Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.