Jedną z istotnych kwestii wynikających z regulacji dotyczących ochrony danych osobowych jest obowiązek usuwania danych osobowych, które z jakichś przyczyn stały się niepotrzebne. Mamy w RODO wyrażoną zasadę ograniczenia przechowywania danych, która wprost wskazuje, że dane mogą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Jak długo można przechowywać dane osobowe?
Innymi słowy, powinniśmy ustalić sobie jakiś rozsądny okres, przez który będziemy przechowywać dane osobowe, tak długo jak są nam potrzebne. To ile to będzie, z reguły zależy od tego po co mamy te dane i co z nimi robimy.
Przykładowo, możemy je przechowywać np.:
do czasu upływu terminu przedawnienia roszczeń wynikających z tej umowy (co może obejmować także roszczenia podatkowe),
do czasu cofnięcia zgody przez osobę, której dane dotyczą (jeżeli dane przetwarzamy na podstawie zgody),
tak długo jak długo nam to nakazują przepisy prawa (np. w przypadku danych dotyczących pracowników).
To jak długo będziemy przechowywać dane powinniśmy ustalić sobie jeszcze przed ich zebraniem. Musimy bowiem o tym poinformować osobę, której dane dotyczą, jak również zamieścić stosowną informację w naszym rejestrze czynności przetwarzania.
Jeżeli masz ochotę na więcej informacji o obowiązku informacyjnym, zapraszam tutaj.
Co z żądaniem usunięcia danych osobowych?
Ale to nie wszystko. W RODO znajdziemy również artykuł 17, który mówi o prawie do żądania usunięcia danych osobowych. Wynika z niego, że Osoba, której dane dotyczą, ma prawo żądania od administratora usunięcia dotyczących jej danych osobowych w sytuacji gdy:
dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,
osoba, której dane dotyczą, cofnęła zgodę,
osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania,
dane osobowe były przetwarzane niezgodnie z prawem
dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,
dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
Więcej o usuwaniu danych i możliwości odmowy usunięcia pisałem tutaj.
W praktyce usuwanie danych po tym jak ktoś zgłosił administratorowi takie żądanie bywało bardzo problematyczne. Dlaczego? Bo najpierw musieliśmy te dane wyszukać – zarówno w ramach systemów informatycznych, jak i tradycyjnych (co często obejmowało po prostu ręczne przeglądanie dokumentów). Na szczęście twórcy systemów informatycznych (np. CRM) umożliwiają szybkie wyszukiwanie i usuwanie danych dotyczących jednej, konkretnej osoby (a po 25 maja funkcja ta została zaimplementowana w wielu narzędziach, w których dotychczas jej nie było). Natomiast dokumenty papierowe, w związku z wejściem w życie RODO zostały przez wiele podmiotów uporządkowane – co nieco ułatwia sprawę.
Jak w praktyce usunąć dane osobowe?
Pozostaje jeszcze problem faktycznego usunięcia danych, zwłaszcza w kontekście tworzenia i przechowywania kopii zapasowych. Bo przepis nie wskazuje wprost, że dane z kopii zapasowej możemy sobie zachować – więc dotychczas przeważało stanowisko, że skoro jest napisane usunąć to dane trzeba usunąć i tyle – co dotyczyło także kopii zapasowych. To oznaczało, że wszystkie kopie zapasowe trzeba było przeszukiwać osobno (chyba że byliśmy pewni, że tych danych tam nie ma) a następnie usunąć rekordy dotyczące osoby, której dane mają być usunięte.
O ile przechowywaliśmy dane w ramach np. jakiejś pamięci flash, takie usuwanie było po prostu czasochłonne i irytujące. Ale jeśli dane były zapisane np. na płycie CD/DVD, wyszukiwanie i usuwanie to był koszmar. Konieczne było bowiem sprawdzenie zawartości każdej płyty, skopiowanie jej zawartości, usunięcie rekordów, dotyczących danej osoby, stworzenie nowego zapisu na nowym nośniku bez usuniętych danych a następnie fizyczne zniszczenie starego nośnika. Brzmi strasznie.
Na szczęście w zeszłym tygodniu na stronie Ministerstwa Cyfryzacji opublikowano poradnik RODO dla sektora fintech. Znajduje się w nim sporo dość odważnych i proprzedsiębiorczych tez, które są emanacją bardziej zdroworozsądkowego, pozbawionego absurdów, podejścia do RODO.
Jednym z nich jest właśnie kwestia usuwania danych z kopii zapasowych. W poradniku wskazano, że obowiązek usunięcia danych z kopii zapasowych co do zasady istnieje, nie jest jednak bezwzględny.
W poradniku napisano tak:
Dane powinny być kasowane przy uwzględnieniu ograniczeń wynikających z technologicznych uwarunkowań kopii zapasowych oraz ryzyka naruszenia praw i wolności wszystkich osób, których dane osobowe są przechowywane w kopii zapasowej. Biorąc pod uwagę te uwarunkowania należy uznać, że akceptowalnym rozwiązaniem jest, aby dane osobowe były kasowane tylko razem z całą kopią zapasową, po ustaniu podstaw przetwarzania wszystkich zawartych w niej danych osobowych lub po ustaniu przydatności kopii zapasowej. Do tego czasu, kopia zapasowa (zapisane w niej dane osobowe) powinny zostać „wyłączone z przetwarzania” (ang. put beyond use) co oznacza, że mogą być dalej przetwarzane, jednak należy ograniczyć ich przetwarzanie tylko do przechowywania.
Innymi słowy – po tym jak ktoś zażąda usunięcia danych, dane w ramach kopii zapasowej mogą być na niej przechowywane. Nie powinny być natomiast przetwarzane w jakimkolwiek innym celu. Usuniemy je wraz z wszystkimi innymi danymi zapisanymi na kopii – np. gdy ta przestanie już nam być potrzebna.
To stanowisko, które wychodzi naprzeciw potrzebom sygnalizowanym przez administratorów danych. Należy przy tym podkreślić, że to ważny głos w dyskusji – chociaż nadal tylko jeden z wielu. Nie jest to oficjalna wypowiedź Prezesa Urzędu Ochrony Danych Osobowych czy Europejskiej Rady Ochrony Danych – i te mogą mieć zupełnie inny pogląd na ten temat. Co nie zmienia faktu, że Ministerstwo Cyfryzacji zabrało ważny głos w dyskusji.
