Usuwanie danych osobowych, gdy „wygasną”

Rozporządzenie wprowadza prawo do zapomnienia i bardzo mocno je akcentuje . Zgodnie z art. 13, 14 i 15 RODO: 
Każda osoba, której dane są przetwarzane, musi zostać poinformowana o tym, jaki jest okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.

Organizacja będzie musiała określić, jak długo można przechowywać dane od momentu ich zebrania. Trzeba pamiętać, że może to być termin nieokreślony, np. w przypadku przetwarzania na podstawie zgody dane osobowe można przetwarzać do momentu jej odwołania.

Artykuł 17 ust. 1 podkreśla, że dane muszą zostać usunięte, gdy nie są już niezbędne do celów, w których zostały zebrane. Aby zrealizować to wymaganie, trzeba odnotowywać, kiedy dane zostały zebrane i sprawdzać, czy termin „przydatności” danych nie wygasł. Nie powinna to być data wprowadzenia danych do systemu, gdyż czas do usunięcia biegnie od momentu zebrania danych, a nie od momentu wprowadzenia danych do systemu.

Mając takie informacje, IT może przystąpić do modyfikowania systemów informatycznych, dodając do rekordu o osobie informację o dacie, kiedy dane osobowe należy usunąć.

Przykładowy rekord danych klienta

ID Imię Nazwisko Adres Kod Poczta PESEL Data
zebrania
Data
usuwania
010908 Jan Kowalski ul. Właściwa 11/21 21-400

Łuków

85072716932 25/1/2017 25/1/2020
204364 Anna Nowak ul. Testowa 17

02-776

Warszawa 91062506768 29/11/2016 29/11/2026

 

W podanym przykładzie dnia 25 stycznia 2020 r. aplikacja powinna automatycznie usunąć dane, ewentualnie wyświetlić użytkownikowi komunikat o takiej konieczności. Motyw 26 RODO podkreśla, że:

Zasady ochrony danych nie powinny więc mieć́ zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną.

 

Zatem gdy dane stracą swój termin do przydatności, można je usunąć, ale można także zanonimizować je, tj. pozbawić cech umożliwiających zidentyfikowanie określonej osoby. Anonimizacja – to działanie nieodwracalne, a jej rezultatem są informacje, które nie stanowią danych osobowych.

Dane związane z umową zawartą z klientem wygasną po rozwiązaniu tej umowy, nie można ich jednak jeszcze usuwać (lub anonimizować), ponieważ należy je przechowywać przez pewien czas ze względu na potencjalne roszczenia (art. 17 ust. 1, art. 18 ust. 2). Możliwe nawet, że te dane powinny być jeszcze przechowywane z powodu innych przepisów, np. o rachunkowości, podatkowych, ustawy o przeciwdziałaniu praniu brudnych pieniędzy. Takie dane wciąż można „posiadać”, ale nie wolno ich „używać”. Takie przechowywanie danych bez możliwości ich „używania” rozporządzenie określa mianem „ograniczonego przetwarzania”.

System powinien wyróżniać rekordy z danymi osobowymi, których przetwarzanie ograniczone jest do przechowywania, w podobny sposób jak dane, co do których osoba zgłosiła sprzeciw wobec działań marketingowych.

Zatem z rekordem klienta trzeba będzie przechowywać jeszcze inne informacje, wskazujące na to:

  • że przetwarzanie zostało ograniczone wyłącznie do przechowywania,
  • że został wniesiony sprzeciw na przetwarzanie danych w celu marketingu bezpośredniego (własnych towarów i usług).

Jeśli zamiast usuwania danych organizacja zdecyduje się na anonimizowanie danych, to rekord osoby powinien zawierać dodatkowo pole z informacją, czy zawarte w nim dane są prawdziwe, czy też nie. W końcu „pomieszane” dane wyglądają tak samo jak prawdziwe i bez takiego pola trudno będzie dociec, które dane są prawdziwe.

Należy pamiętać o tym, że wraz z rekordem osoby powinno się też zamieścić informację o źródle danych, tj. o tym, skąd dane pochodzą. Będą one potrzebne do spełnienia wymagań określonych w art. 15 ust. 1 pkt g:

1.   Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

(...)

g)   jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

 

ID Imię Nazwisko

Data
zebrania

Data
usuwania
Tylko prze­chowywanie Sprzeciw Prawdziwy
010908 Jan

Kowalski

25/1/2017 25/1/2020 Nie Nie Tak
204364 Anna Nowak 29/11/2016 29/11/2026 Nie Nie Tak

Organizacja będzie musiała określić, jak długo można przechowywać dane od momentu ich zebrania. Trzeba
pamiętać, że może to być termin nieokreślony, np. w przypadku przetwarzania na podstawie zgody dane osobowe można przetwarzać do momentu jej odwołania.

Artykuł 17 ust. 1 podkreśla, że dane muszą zostać usunięte, gdy nie są już niezbędne do celów, w których zostały zebrane. Aby zrealizować to wymaganie, trzeba odnotowywać, kiedy dane zostały zebrane i sprawdzać, czy termin „przydatności” danych nie wygasł. Nie powinna to być data wprowadzenia danych do systemu, gdyż czas do usunięcia biegnie od momentu zebrania danych, a nie od momentu wprowadzenia danych do systemu.

Mając takie informacje, IT może przystąpić do modyfikowania systemów informatycznych, dodając do rekordu o osobie informację o dacie, kiedy dane osobowe należy usunąć.

Przykładowy rekord danych klienta

ID Imię Nazwisko Adres Kod Poczta PESEL Data
zebrania
Data
usuwania
010908 Jan Kowalski ul. Właściwa 11/21 21-400 Łuków

85072716932

25/1/2017 25/1/2020
204364 Anna Nowak ul. Testowa 17 02-776 Warszawa 91062506768 29/11/2016 29/11/2026

 

W podanym przykładzie dnia 25 stycznia 2020 r. aplikacja powinna automatycznie usunąć dane, ewentualnie wyświetlić użytkownikowi komunikat o takiej konieczności. Motyw 26 RODO podkreśla, że:

Zasady ochrony danych nie powinny więc mieć́ zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną.

Zatem gdy dane stracą swój termin do przydatności, można je usunąć, ale można także zanonimizować je, tj. pozbawić cech umożliwiających zidentyfikowanie określonej osoby. Anonimizacja – to działanie nieodwracalne, a jej rezultatem są informacje, które nie stanowią danych osobowych.

Dane związane z umową zawartą z klientem wygasną po rozwiązaniu tej umowy, nie można ich jednak jeszcze usuwać (lub anonimizować), ponieważ należy je przechowywać przez pewien czas ze względu na potencjalne roszczenia (art. 17 ust. 1, art. 18 ust. 2). Możliwe nawet, że te dane powinny być jeszcze przechowywane z powodu innych przepisów, np. o rachunkowości, podatkowych, ustawy o przeciwdziałaniu praniu brudnych pieniędzy. Takie dane wciąż można „posiadać”, ale nie wolno ich „używać”. Takie przechowywanie danych bez możliwości ich „używania” rozporządzenie określa mianem „ograniczonego przetwarzania”.

System powinien wyróżniać rekordy z danymi osobowymi, których przetwarzanie ograniczone jest do przechowywania, w podobny sposób jak dane, co do których osoba zgłosiła sprzeciw wobec działań marketingowych.

Zatem z rekordem klienta trzeba będzie przechowywać jeszcze inne informacje, wskazujące na to:

  • że przetwarzanie zostało ograniczone wyłącznie do przechowywania,
  • że został wniesiony sprzeciw na przetwarzanie danych w celu marketingu bezpośredniego (własnych towarów i usług).

 

Jeśli zamiast usuwania danych organizacja zdecyduje się na anonimizowanie danych, to rekord osoby powinien zawierać dodatkowo pole z informacją, czy zawarte w nim dane są prawdziwe, czy też nie. W końcu „pomieszane” dane wyglądają tak samo jak prawdziwe i bez takiego pola trudno będzie dociec, które dane są prawdziwe.

Należy pamiętać o tym, że wraz z rekordem osoby powinno się też zamieścić informację o źródle danych, tj. o tym, skąd dane pochodzą. Będą one potrzebne do spełnienia wymagań określonych w art. 15 ust. 1 pkt g:

1.   Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

(...)

g)   jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

ID Imię Nazwisko Data
zebrania
Data
usuwania
Tylko prze­chowywanie

Sprzeciw

Prawdziwy
010908 Jan

Kowalski

25/1/2017 25/1/2020 Nie  Nie Tak

204364

Anna Nowak 29/11/2016 29/11/2026 Nie  Nie Tak