Prawo do usunięcia danych a polityka retencji danych osobowych

 

Wokół tego prawa narosło wiele mitów, które potęgują strach przed nieprawidłowym przetwarzaniem danych osobowych. Prawo do usunięcia danych nie jest jednak niczym nowym, funkcjonowało już na gruncie poprzedniej dyrektywy, a także polskiej ustawy z 1997 r. Przez skupianie się na prawie do usunięcia danych administratorzy często zapominają o innych obowiązkach, które są na nich nałożone na gruncie RODO, np. dotyczących wdrożenia odpowiednich procedur, które zabezpieczą dane osobowe przed potencjalnym incydentem. Dodatkowo, prawo do usunięcia danych podlega kilku wyjątkom. 

 

Jasno wskazuje się przesłanki pozytywne, dzięki którym można żądać usunięcia danych. Po pierwsze, gdy administrator nie potrzebuje już danych do celów, dla których pierwotnie je zebrał. Jako przykład może służyć sytuacja, gdy właściciel strony zdecydował o rezygnacji z rozsyłania newslettera i adresy e-mail użytkowników nie są już mu potrzebne do przesyłania informacji handlowych. 

 

Kolejną przesłanką do żądania usunięcia danych jest cofnięcie zgody, o ile była ona wyłączną podstawą prawną przetwarzania danych. Często osoba, której dane są przetwarzane, mylnie twierdzi, że w przypadku cofnięcia zgody dane zostaną całkowicie usunięte, zapominając przy tym, że dodatkowo ją i administratora może łączyć np. umowa, do  wykonania której niezbędne są nadal konkretne dane. Podobnie usunięcia danych może żądać rodzic lub opiekun prawny dziecka, które korzysta z usług internetowych na podstawie wcześniej wyrażonej zgody. 

 

Można żądać usunięcia danych również w przypadku, gdy są one przetwarzane niezgodnie z prawem lub ich usunięcie stanowi konsekwencję obowiązku prawnego, który został nałożony na administratora. 

 

Jak  zostało wspomniane, prawo do usunięcia danych podlega również licznym wyjątkom. Mają one charakter głównie publiczny i obejmują, m.in. wolność wypowiedzi i informacji, nadrzędność zdrowia publicznego, czy też cele statystyczne, archiwalne lub historyczne. Dodatkowo, administrator może przechowywać dane osoby, która żąda usunięcia, jeżeli jest to niezbędne do wywiązania się z prawnego obowiązku, jaki na nim spoczywa lub w przypadku ustalenia, dochodzenia lub obrony roszczeń. Dlatego też, w przypadku wpłynięcia wniosku o usunięcie danych administrator powinien przeanalizować, czy takie żądanie jest zasadne – czy zachodzą przesłanki pozytywne usunięcia danych oraz czy roszczenie nie podlega żadnym ograniczeniom.

 

Jeżeli powyższe przesłanki zostaną spełnione, administrator powinien usunąć dane. Dodatkowo, RODO nakłada kolejny obowiązek w postaci poinformowania innych administratorów, którym dane zostały upublicznione o żądaniu usunięcia danych. Jest to drugi aspekt prawa do usunięcia danych tzw. prawo do bycia zapomnianym. Jednakże przepis RODO jest dość niejasny, gdyż nie wskazuje, jak powinni zachować się wobec takiego powiadomienia tzw. wtórni administratorzy. Po drugie, nie zawsze osoba, której dane dotyczą, może chcieć, aby jej dane zostały usunięte przez innych administratorów. Po trzecie, obowiązek poinformowania zachodzi wyłącznie wtedy, gdy dane zostały upublicznione, a nie udostępnione (np. innemu administratorowi lub procesorowi). Podsumowując, nie można traktować prawa do bycia zapomnianym każdorazowo jako nierozłączną część prawa do usunięcia danych. 

 

Administrator, chcący prawidłowo rozpatrywać wnioski o usunięcie danych, powinien wdrożyć odpowiednie procedury, które wykażą zgodność jego postępowania z RODO. Najprostszym rozwiązaniem jest prowadzenie rejestru czynności przetwarzania. Pozwoli on administratorowi danych pogrupować kategorie danych do konkretnych czynności, jak również celów oraz podstaw prawnych przetwarzania, dzięki czemu ryzyko naruszenia bezpieczeństwa danych może zostać znacząco zmniejszone. Warto, aby wszystkie działy firmy ze względu na różny zakres przetwarzanych danych prowadziły wewnętrzny rejestr czynności przetwarzania. Taka procedura zapewni administratorowi przejrzystość przetwarzania, która jest jedną z naczelnych zasad RODO.

 

Warto również rozważyć wprowadzenie polityki retencji danych – dotyczy to zarówno administratora danych, jak i podmiotu przetwarzającego. Mimo iż RODO nie mówi wprost o takim dokumencie, można powiązać go z jedną z zasad przetwarzania danych, tj. zasadą ograniczenia przechowywania. Zgodnie z nią, przechowywanie danych w formie umożliwiającej identyfikację osoby, której dane dotyczą, może odbywać się przez okres nie dłuższy niż jest to niezbędne do celów, dla których dane są przetwarzane. Dzięki takiej polityce administrator jest w stanie lepiej kontrolować procesy przetwarzania danych. 

 

Procedura ta powinna klarownie wskazywać, jakie dane przetwarza administrator wraz ze wskazaniem podstawy prawnej ich przetwarzania. Jednak najważniejszym elementem jest w tym wypadku określenie momentu, do którego dane mogą być przetwarzane. W wielu przypadkach nie da się określić tego okresu w miesiącach lub latach, często zależy to od specyficznych okoliczności. Okres, podczas którego można przetwarzać dane osobowe udostępnione na podstawie zgody, obejmuje czas do momentu, kiedy ta zgoda nie zostanie wycofana. Jednakże w tym wypadku warto co jakiś czas przypomnieć osobie, której dane zbieramy, że wyraziła ona zgodę na przetwarzanie danych i zapytać czy zgoda nadal jest aktualna. Użytkownicy często zapominają o tym, że wyrazili zgodę, a przedsiębiorca jako rzetelny administrator powinien upewniać się czy nadal może dane przetwarzać. Co więcej, często okres przez jaki konkretne dane mogą być przetwarzane wynika wprost z przepisów prawa. Dotyczy to, m.in. danych pracowników. Kodeks pracy jasno wskazuje, jak długo były pracodawca może przetwarzać dane byłego pracownika – obecnie jeszcze 50 lat (a od 1 stycznia 2019 r. – 10 lat).

 

Poprawnie opracowane procedury pozwolą administratorowi kontrolować dane, które przetwarza oraz rzetelnie wywiązywać się z obowiązków, jakie spoczywają na nim na gruncie RODO. W szczególności polityka retencji danych umożliwi potencjalną realizację prawa do usunięcia danych, wokół którego narosło tak wiele mitów. Dzięki tej procedurze administrator będzie mógł ocenić, czy usunięcie danych jest możliwe. Często stworzenie procedury wymaga analizy procesów przetwarzania danych w konkretnej firmie, podczas której mogą wyniknąć dodatkowe problemy w zakresie przetwarzania.

 

Jeśli są Państwo zainteresowani szczegółowym omówieniem zagadnienia lub audytem prawno-technologicznym pod kątem zgodności przetwarzania danych z RODO, eksperci Rödl & Partner pozostają do dyspozycji w biurach w Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie i Wrocławiu.