Zasady brakowania i archiwizacji danych osobowych

Artykuł 17 RODO wymienia sytuacje, w których należy usuwać dane osobowe. Rozporządzenie nie określa wprost, co należy rozumieć przez usunięcie, ale wspomina o sytuacjach, w których określone informacje nie stanowią danych osobowych, a wówczas nie stosuje się do nich zasad z RODO:

„Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych”.

Skoro RODO nie definiuje, czym jest usuwanie danych, wydaje się, że można posłużyć się dawną polską ustawą o ochronie danych osobowych, w której przez usunięcie danych rozumiało się „zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą”.

Wszystkie sytuacje, w których należy usuwać dane osobowe, rozporządzenie wymienia w art. 17. Ciekawe, że w większości nie wprowadza się nowych zasad usuwania danych osobowych, a raczej w tym artykule powtarza się te,
które zostały określone przez inne zapisy rozporządzenia. Przykładowo, możliwość żądania usunięcia danych przetwarzanych niezgodnie z prawem jest w zasadzie oczywistością – administrator nawet bez żądania nie ma prawa takich danych przetwarzać i powinien je usunąć sam, z własnej inicjatywy. Podobnie ma się rzecz z danymi, które nie są już niezbędne do celu przetwarzania, w jakim zostały zebrane – administrator danych zobowiązany jest takie dane usunąć, nie czekając na żądanie osoby, której dane dotyczą. W zasadzie jedynym nowym prawem jest możliwość żądania usunięcia danych, gdy „zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego”.

Dwa przypadki usuwania danych będą najczęściej występować u administratorów danych:

  • dane osobowe przestały być niezbędne do celów, w których zostały zebrane (art. 17 ust. 1 lit a),
  • dane były przetwarzane na podstawie zgody, która została odwołana (art. 17 ust. 1 lit b).

Oba przypadki mogą zostać „zmodyfikowane” przez sytuację, gdy dane mogą być niezbędne do „ustalenia, dochodzenia lub obrony roszczeń” (art. 17 ust. 3 lit e) oraz gdy dane trzeba przetwarzać, aby zapewnić zgodność z prawem (art. 17 ust. 3 lit b).
 

Kiedy usuwać dane

Jeśli dane przetwarzane są w celu realizacji umowy, to cel „w którym dane zostały zebrane lub w inny sposób przetwarzane” kończy się wraz z zakończeniem umowy. Jednak jeszcze w wielu przypadkach dane będą przetwarzane
po zakończeniu umowy.

Przykładowo, ustawa z dnia 29 września 1994 r. o rachunkowości (art. 74) wymaga, aby większość dokumentów księgowych przechowywana była przez 5 lat, licząc od początku roku następującego po roku obrotowym, którego dane dotyczą, czyli maksymalnie do 6 lat. Również do 6 lat będzie trzeba przechowywać dane osobowe, jeśli w grę wchodzą transakcje dokonywane przez klientów. Na podstawie ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (art. 8a ust. 2):

  1. Instytucje obowiązane prowadzą bieżącą analizę przeprowadzanych transakcji. Wyniki analiz powinny być dokumentowane w formie papierowej lub elektronicznej.
  2. Wyniki analiz przechowywane są przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zostały przeprowadzone. W przypadku likwidacji, połączenia, podziału oraz przekształcenia instytucji obowiązanej do przechowywania dokumentacji stosuje się odpowiednio przepisy art. 76 ustawy z dnia 29 września 1994 r. o rachunkowości.

Zapisy tej ustawy dotyczą głównie instytucji finansowych, w tym biur rachunkowych, ale dotyczą także przedsiębiorców, o ile przyjmują płatności za towary w gotówce o wartości równej lub przekraczającej równowartość 15 tys. EUR, również gdy należność za określony towar jest dokonywana w drodze więcej niż jednej operacji.

Dane w zakresie uzasadnionym ze względu na ewentualny spór z tytułu niewykonania lub nienależytego wykonania umowy mogą być przechowywane do czasu wygaśnięcia roszczeń z tytułu umowy. W działalności gospodarczej będą to najczęściej 3 lata (art. 118 Kodeksu cywilnego):

„Jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi lat dziesięć, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – trzy lata”.

Jak widać, czas przechowywania danych osobowych można podzielić na:

  • aktywne przetwarzanie (w celu, w którym zostały zebrane),
  • bierne przetwarzanie (przechowywanie i używanie tylko w sytuacji przymusu).
     

Jak ograniczać przetwarzanie danych

Słownik języka polskiego definiuje termin „archiwum”: „uporządkowany zbiór dokumentów, akt lub informacji zapisanych na innych nośnikach (np. kase­tach, dyskach), niesłużących bieżącemu użytkowi, ale mogących okazać się ważne współcześnie”. Przenosząc to na grunt danych osobowych, można powiedzieć, że dane zarchiwizowane, to takie dane, które przechowuje się „na wszelki wypadek” lub z innych przyczyn, ale co do zasady tych danych nie używa się.

Przykładowo, w zakładach ubezpieczeń archiwizuje się dokumenty polis ubezpieczeniowych, tj. dokumentom nadaje się numery i przewozi do innej, najczęściej tańszej lokalizacji. Niekiedy dokumenty są skanowane. Kiedy dokument okaże się potrzebny, trzeba go „zamówić”, wówczas archiwum dostarcza go za jakiś czas.

Takie postępowanie odpowiadałoby temu, co zostało określone w motywie 67 RODO:

„Wśród metod pozwalających ograniczyć przetwarzanie danych osobowych mogą się znaleźć między innymi: czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych lub czasowe usunięcie opublikowanych danych ze strony internetowej. W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie”.

Natomiast definicja ograniczenia przetwarzania została zawężona do wspomnianego w tym motywie „zaznaczenia”: „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.

Ograniczenie przechowywania opisane jest w art. 18. Należy je stosować, gdy:

  • osoba kwestionuje prawidłowość danych (na czas sprawdzenia, czy rzeczywiście są nieprawidłowe);
  • dane przetwarzane są wbrew prawu, ale osoba nie chce, aby usunąć dane, które powinny zostać usunięte, gdyż mają nielegalny charakter;
  • dane w zasadzie mogą zostać usunięte, ale osoba potrzebuje ich w celu ustalenia, dochodzenia lub obrony roszczeń;
  • dane przetwarzane są „w prawnie uzasadnionych interesach” administratora lub innej strony, a osoba wniosła
  • sprzeciw; wówczas przetwarzanie ogranicza się do czasu oceny, co jest ważniejsze – prawnie uzasadnione interesy czy podstawa sprzeciwu osoby.

Jak widać, prawie nic nie ma w RODO na temat ograniczania przetwarzania w związku z przechowywaniem danych, którego wymaga prawo, zatem samodzielnie trzeba będzie ocenić, w jakich przypadkach trzeba będzie je stosować. Pewną podpowiedzią mogą być zapisy art. 17 ust. 1 oraz 3, stanowiące, że:

„1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; (...)

3. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne”.

Zatem dane podlegające usunięciu mogą pozostać, a ich przetwarzanie ogranicza się wyłącznie „do ustalenia, dochodzenia lub obrony roszczeń”. Skoro mowa o roszczeniach, dobrze by było ustalić, co się za nimi kryje.

Roszczenie – to w prawie cywilnym prawo podmiotowe, którego treścią jest uprawnienie do żądania od oznaczonej osoby zachowania się w określony sposób. Roszczenia stanowią podstawę funkcjonowania stosunków prawnych pomiędzy osobami prywatnymi (czyli prawa cywilnego). Relacje podmiotów związanych stosunkiem cywilnym najczęściej polegają na ustaleniu, czy i której ze stron przysługuje roszczenie wobec drugiej strony. Ustalenie posiadania roszczenia ma znaczenie w procesie cywilnym, którego celem jest sądowe ustalenie, a następnie przymusowe wykonania roszczenia, bo sprawę wygrywa ten, któremu roszczenie to przysługuje. Można powiedzieć, że bez roszczeń nie istniałby Kodeks cywilny. Przykłady roszczeń:

  • roszczenie windykacyjne – zwrot długu,
  • roszczenie o zapłatę,
  • roszczenie o naprawienie wyrządzonej szkody.

Archiwizacja danych w systemach komputerowych często mylona jest z tworzeniem zapasowych kopii danych, które
nazywane są kopiami archiwalnymi, ale to nie jest to samo. W większości organizacji dane archiwalne przechowywane są wciąż w oryginalnym systemie, rzadko kiedy są „migrowane” do zewnętrznego archiwum. Przykładowo,
w programach księgowych zamyka się poprzedni rok, wykonuje się kopię zapasową (taką „na wszelki wypadek” – to nie jest kopia archiwalna), dane za ten rok pozostawia się w systemie i otwiera się nowy rok. Dane z ubiegłego roku może i nie są używane, ale nie można o nich powiedzieć, że stanowią archiwum, bowiem w każdej chwili, natychmiast, bez żadnych ograniczeń można uzyskać do nich dostęp. Ten proces byłby archiwizacją danych, gdyby po wykonaniu kopii zapasowej przeniesiono ją w inne miejsce, a dane za ubiegły rok zostałyby usunięte z systemu produkcyjnego.

Rozwiązanie wprowadzone przez RODO określa, że w systemie powinno znaleźć się miejsce do zaznaczenia, że dane są ograniczone do przetwarzania. Przykładowo, jeśli rekord danej osoby zostanie tak zamarkowany, to większość jego danych, poza danymi do identyfikacji osoby, powinna zostać ukryta przed użytkownikami systemu.
Dobrze też dodatkowo wyświetlić, przy takich danych, komunikat, że nie wolno nic z takimi danymi robić.

Technicznie w systemach informatycznych dane o osobie powinny zawierać dodatkowe informacje o tym, czy aktualnie przetwarzanie jest ograniczone, jeśli tak – do kiedy. Data obowiązywania jest niezbędna, aby system mógł sam znieść ograniczenie przechowywania. Nie zawsze to będzie możliwe – przykładowo, jeśli ograniczenie zostało nałożone na czas sprawdzenia prawidłowości danych, to trudno powiedzieć, jak długo to sprawdzenie potrwa. Wydaje się też, że niezbędna będzie taka modyfikacja systemów, aby przechowywać w nich historię wszystkich ograniczeń w stosunku do danej osoby.
 

Jak usuwać dane

Dane osobowe można usuwać na dwa sposoby:

  • niszczenie (usuwanie),
  • anonimizacja.

O ile usuwanie danych w formie papierowej nie sprawia raczej większych trudności, to usuwanie danych w postaci cyfrowej może okazać się sporym wyzwaniem.

 

Usuwanie danych w formie papierowej

Dane w formie papierowej można usuwać poprzez:

  • niszczenie dokumentów w całości,
  • fizyczne pozbawianie dokumentów części identyfikującej lub umożliwiającej identyfikację osoby, których dane dotyczą,
  • zaczernianie części dokumentów.

Sposób niszczenia dokumentów powinien być dopasowany do potencjalnych ryzyk dla osób, których dane dotyczą. Przykładowo, dla danych o niewielkim wpływie na prywatność można zastosować niszczarki dokumentów pracujących w klasie DIN P-1 lub P-2. W przypadku bardzo istotnych danych osobowych niszczarka powinna pracować w klasie co najmniej DIN P-5. W pierwszym przypadku dokument w formacie A4 niszczarka pokroi na 36 kawałki – to zawsze coś, ale da się poskładać. W klasie P-5 ta sama karta zamieni się w 2000 ścinków. Poskładanie tego wydaje się prawie niemożliwe.

 

Tabela 1. Klasy niszczenia dokumentów

Klasa niszczenia

Ilość ścinków z kartki A4
P-1/P-2 36
P-3 321
P-4 420
P-5 2000
P-6 6000
P-7 15 000


Podczas zaczerniania dokumentów trzeba wykonać pewną sztuczkę – otóż dane osobowe należy zaczernić, a następnie zrobić kopię bądź skan dokumentu. Zaczernienie danych za pomocą czarnego flamastra jest nieskuteczne, bo dane da się odczytać.

 

Fizyczne niszczenie nośników danych

Płyty CD i DVD należy co najmniej przeciąć na pół, aby dane były skutecznie zniszczone. Najlepiej użyć do ich niszczenia niszczarki biurowej z funkcją niszczenia płyt. Porysowanie nośnika bądź zamalowanie go wodoodpornym flamastrem nie jest skuteczne.

Dyski z komputerów najlepiej oddać do firmy specjalizującej się w niszczeniu takich nośników. W pojedynczych przypadkach można je przewiercić w kilku miejscach lub pociąć na kawałki za pomocą szlifierki. W ostateczności można zniszczyć mocnymi uderzeniami młotka, ale taki sposób niszczenia nie jest w pełni skuteczny.

 

Usuwanie danych z dysków komputera

Należy pamiętać o tym, że zwykłe usunięcie danych nie kasuje ich z dysku, np. w systemie Windows usunięcie danych powoduje przesunięcie ich do kosza, a usunięcie ich z kosza powoduje, że nie są widoczne dla systemu operacyjnego, miejsce po nich jest zwolnione do zapisu, jednak zanim zostaną nadpisane, wciąż można je odczytać (np. programem Foremost). Wiele osób wierzy, że defrag­mentowanie dysku po usunięciu danych uniemożliwia odczytanie usuniętych danych, ale nie jest to prawda.

Formatowanie dysku, nawet wielokrotne, także nie usuwa danych z dysku. Dlatego do usuwania danych lepiej skorzystać ze specjalnych programów, które nie tylko usuwają pliki, ale także nadpisują miejsce po nich (np. Eraser1, DiskWipe2).

Gdy nie ma możliwości użycia żadnego programu, należy usunąć dane z dysku, opróżnić systemowy kosz, a następnie dysk zapisać do samego końca dowolnymi, nic nie­znaczącymi danymi (muzyką, filmami itd.).

Nowoczesne dyski SSD wydają się być pozbawione tego problemu – jeśli obsługują funkcje TRIM, wtedy dane usunięte przez system są automatycznie czyszczone z dysku poleceniami TRIM. Nie warto jednak ufać takim zapewnieniom i na wszelki wypadek lepiej takie dyski traktować podobnie jak dyski magnetyczne.

 

Usuwanie danych z baz danych i aplikacji

Najprostszą metodą jest usuwanie danych ręcznie, zgodnie z instrukcją przygotowaną przez administratora, która wskazuje, jakie dane w jakich polach należy wpisać lub zamienić. Przykładowo, wszystkie imiona mogą być zamieniane na „Anonimowy”, nazwiska na „Gall”, ulica „Gwieździsta”, telefon na same zera itd. Pewne problemy mogą powstać przy anonimizowaniu daty urodzenia i płci, która była sprawdzana z PESEL-em, w którym takie dane są zaszyte, ale i to można rozwiązać, dostarczając operatorom specjalny kalkulator w arkuszu kalkulacyjnym do generowania numeru PESEL na podstawie podanej daty urodzenia i płci. Jest to metoda prymitywna, czasochłonna, ale... działająca.

Najlepiej w aplikacji zastosować funkcję/przycisk obsłu­gującą usuwanie danych. Używam terminu „usuwanie”, ale równie dobrze może to być anonimizowanie danych. Funkcja taka powinna zostać opracowana przez programistów. Może ona usuwać pojedyncze dane, np. dane osoby aktualnie wyświetlanej, ale może też usuwać wszystkie dane osób, które w dniu uruchomienia tej funkcji powinny zostać usunięte. Wcześniej funkcja powinna wyświetlić dane takich osób, aby uniknąć usunięcia danych, których nie powinno się usuwać.

Są też specjalizowane rozwiązania i mechanizmy do anonimizacji danych, takie jak InfoSphere3 produkcji IBM, ale są one dość drogie i raczej znajdą zastosowanie w dużych organizacjach.

Trzeba jednak podkreślić, że aby usuwanie danych mogło być możliwe, wraz z danymi o osobie musi być podana co najmniej data zebrania danych. W tym miejscu warto odnotować, że w wielu przypadkach data ta w odniesieniu do obecnie przetwarzanych danych może być nieco nieprecyzyjna, gdyż dawne przepisy o ochronie danych osobowych nakazywały zapisywać datę wprowadzenia do systemu, a nie datę zebrania danych. Oprócz tych dat trzeba z rekordem osoby przechowywać informację o tym, kiedy przetwarzanie ograniczyć do przechowywania oraz kiedy dane można usunąć zupełnie.

 

Niezbędne warunki do usuwania danych osobowych

Aby móc dane usuwać, po pierwsze dane powinny zostać zidentyfikowane, tak aby było wiadomo, gdzie i jakie dane są przechowywane. Należy też określić ich biznesowego właściciela, aby było wiadomo, kto może podjąć decyzję o ich usuwaniu.

Poza tym wraz z danymi musi być przechowywana data ich zebrania, okres ważności danych ze względu na cel przetwarzania, okres ważności ze względu na roszczenia wraz z okresem przechowywania wynikającym z obowiązujących przepisów prawa.

W tabeli podano przykładowe rekordy osób. Umowa o świadczenie usługi została zawarta na rok z Janem i Anną. Anna podlegała roszczeniom o zapłatę, roszczenie zostało rozliczone 30 listopada 2017 r.

W przypadku Jana dane trzeba usunąć 1 stycznia 2026 r., gdyż:

  • 30 stycznia 2019 r. umowa zostaje rozwiązana – dane należy zarchiwizować,
  • 30 stycznia 2022 r. wygasają potencjalne roszczenia,
  • 31 grudnia 2025 r. kończy się obowiązek przechowywania dowodów księgowych, o których mowa w art. 74
  • ust. 1 ustawy o rachunkowości (ponieważ nie było roszczeń, to te daty liczy się od momentu rozwiązania umowy).

 

Imię Nazwisko Data
zebrania
Cel Roszczenia Roszczenie zakończone Inne przepisy
Jan

Derkacz

30.1.2018

1 rok

3 lata

NULL


Przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub
przedawnione

Anna Trąbka

10.2.2016

1 rok 3 lata 2.2.2018 Przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub
przedawnione
Tomasz Zamachowski 17.7.2017

do odwołania

3 lata

NULL NULL

 

W przypadku Anny dane trzeba usunąć 1 stycznia 2026 r., ponieważ:

  • 10 lutego 2018 r. umowa została rozwiązania – dane należy zarchiwizować;
  • administrator danych wysunął roszczenie o zapłatę, które zostało rozliczone w dniu 2 lutego 2018 r.; nie oznacza to, że potencjalnych roszczeń w przyszłości nie będzie, dlatego dane od momentu zakończenia umowy trzeba trzymać przez 3 lata, tj. do 10 lutego 2019 r.;
  • dowody księgowe należy przechowywać przez 5 lat od początku roku następującego po roku obrotowym, w którym roszczenie zostało rozliczone; rozliczenie miało miejsce w 2018 r., zatem dowody należy przechowywać do 31 grudnia 2025 r.

 

W powyższym przykładzie pokazano dwie umowy, zawarte jedna w 2016 r., a druga dwa lata później – czas usunięcia danych ten sam; widać więc, że wyliczanie okresów, kiedy dane archiwizować, a następnie kiedy usuwać, wcale
takie proste nie jest.

Dane Tomasza przetwarzane są na podstawie zgody na przetwarzanie danych, którą wyraził w celu marketingowym. W takim przypadku nie można ustalić precyzyjnie daty usunięcia danych – dane usunie się dopiero wtedy, gdy Tomasz odwoła zgodę. Po jej odwołaniu dane należy ograniczyć do przechowywania przez okres 3 lat ze względu na potencjalne roszczenia w działalności gospodarczej.