Kiedy i jak usuwać dane osobowe zgodnie z RODO? – poradnik

Jeżeli w toku swojej działalności przetwarzasz dane osobowe musisz mieć świadomość, że czas, kiedy to możesz robić jest ograniczony. Musisz usunąć lub zniszczyć przetwarzane dane osobowe.

Zgodnie z przepisami unijnego rozporządzenia o ochronie danych osobowych (RODO), dane osobowe można przetwarzać przez czas niezbędny do realizacji celu ich zebrania lub wyznaczony przez przepisy prawa (np. ustawy o rachunkowości). Po tym okresie masz obowiązek je usunąć, co w pewnych przypadkach będzie wiązało się także z ich zniszczeniem.

Konieczność taka może pojawić się także przed upływem okresu przetwarzania, np. w związku z wycofaniem lub sprzedażą nośników, na których zapisane są dane osobowe.

W niniejszym artykule znajdziesz odpowiedź na następujące pytania:

  1. Czym różni się usuwanie danych osobowych od ich niszczenia?
  2. Jak prawidłowo usuwać i niszczyć dane osobowe?
  3. W jakich przypadkach prawo nakazuje usunięcie danych osobowych?

Usuwanie a niszczenie danych osobowych

Usunięcie danych osobowychpolega na skasowaniu ich z nośnika w taki sposób, aby ich późniejsza rekonstrukcja była niemożliwa, przy czym nośnik zostaje zachowany.

Zniszczenie danych osobowychoznacza z kolei fizyczną destrukcję nośnika wraz zapisanymi danymi w taki sposób, być nie można było ich odtworzyć.

W zależności od potrzeb powinieneś zastosować jeden z tych dwóch sposobów, co ilustruje prosty przykład: jeżeli przechowujesz dane na dysku komputera, nie musisz niszczyć go za każdym razem, gdy upływa okres przetwarzania danych – wystarczy wtedy ich usunięcie. Jeżeli natomiast chcesz wymienić komputer na nowy, musisz zadbać o prawidłowe zniszczenie starego dysku.

Bezprawne zniszczenie lub usunięcie(choćby przypadkowe) danych osobowych jest naruszeniem ich ochrony, dlatego Twoim obowiązkiem jest zapewnienie ich bezpiecznego przechowywania oraz ustanowienie odpowiednich procedur ich usuwania. W przeciwnym wypadku narażasz się na ewentualne kary, jakie wiążą się z naruszeniami.

Prawidłowe usuwanie i niszczenie danych osobowych

Jeżeli dane osobowe przechowujesz na nośniku papierowym, ich usunięcie lub zniszczenie nie będzie zazwyczaj problemem. Pierwszej z tych czynności możesz dokonać poprzez odpowiednie zaczernienie dokumentu, drugiej zaś – za pomocą niszczarki lub zlecając to profesjonalnemu przedsiębiorcy zajmującego się niszczeniem dokumentów (takim podmiotem nie są służby oczyszczania miasta, dlatego niedopuszczalne jest wyrzucanie dokumentów z danymi na śmietnik!).

W przypadku przechowywania danych na nośnikach elektronicznychsprawa jest nieco bardziej skomplikowana. Usunięcie lub zniszczenie danych musi być nieodwracalne, więc należy zastosować w tym celu środki “poważniejsze” niż proste skasowanie pliku z dysku (dla fachowca z odpowiednim sprzętem jego odtworzenie nie będzie stanowiło problemu).

Aby usunąć dane, musisz skasować je z poziomu systemu operacyjnego, natomiast ich zniszczenie wymaga użycia specjalistycznego oprogramowania, niszczarki danych cyfrowych lub fizycznego zniszczenia dysku/całego komputera (nie zalecamy robić tego samodzielnie, lecz skorzystać z pomocy profesjonalisty).

Każda czynność usunięcia/zniszczenia danych powinna być stwierdzona protokołem. Jeżeli powierzasz te czynności zewnętrznemu przedsiębiorcy, sprawdź czy jego oferta przewiduje protokolarne przekazanie nośników oraz wydanie pisemnego potwierdzenia ich zniszczenia.

Jeżeli podlegające usunięciu/zniszczeniu dane osobowe posiada oprócz Ciebie także inna osoba (np. pracownik, zleceniobiorca), powinieneś wydać mu polecenie dokonania tych czynności (np. drogą mailową).

Kiedy należy usuwać dane osobowe?

Każdej osobie, której dane osobowe są przetwarzane, przysługuje “prawo do bycia zapomnianym”. Na jego podstawie może się ona domagać od administratora niezwłocznego usunięcia jej danych. W razie zgłoszenia takiego żądania, musisz je spełnić, gdy:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku.

Do powyższego obowiązku RODO przewiduje kilka wyjątków, z których należy wymienić przede wszystkim prawny obowiązek dalszego przetwarzania danych (np. na mocy ustawy o rachunkowości, ordynacji podatkowej) oraz sytuacje związane z ustaleniem, dochodzeniem lub obroną roszczeń (np. w razie sporu sądowego z klientem).

W praktyce, z koniecznością usunięcia lub zniszczenia danych osobowych będziesz stykał się najczęściej w następujących przypadkach:

  • upływ wyznaczonego okresu przetwarzania danych osobowych;
  • utrata przydatności danych osobowych przed upływem wyznaczonego okresu ich przetwarzania;
  • realizacja “prawa do bycia zapomnianym;
  • wycofanie z eksploatacji lub przekazanie osobie trzeciej nośnika lub sprzętu wykorzystywanego do przetwarzania danych;
  • przekazanie nośnika lub sprzętu do serwisu napraw.

O okresie przetwarzania danych osobowych lub kryteriach jego ustalenia, musisz poinformować najpóźniej w momencie pobierania danych (obowiązek informacyjny), powinien być on także określony w rejestrze czynności przetwarzania.

Co pewien czas należy dokonywać stosownego przeglądu i usuwać/niszczyć dane, których okres przetwarzania upłynął.

Pamiętaj, że gdy te same dane osobowe mogą być przetwarzane przez różne okresy (np. równocześnie przez 3 lata i przez 5 lat), należy usunąć je lub zniszczyć dopiero po upływie najdłuższego z nich.

Szczególną uwagę powinieneś zwrócić na dane, które mogą utracić swoją przydatność przed upływem wyznaczonego okresu (np. dane analityczne zbierane na stronie internetowej) – trzeba je usunąć lub zniszczyć niezwłocznie po stwierdzeniu braku przydatności (gdy nie będzie już podstawy prawnej lub uprawniony zażąda ich usunięcia).

Na wypadek skorzystania z “prawa do bycia zapomnianym”, powinieneś ustanowić odpowiednie proceduryrozpatrywania takiego żądania. Jest to niezbędne, gdyż zadośćuczynienie mu “z automatu” może spowodować niedopełnienie zasad, czy prawnego obowiązku dot. przetwarzania danych np. rozliczalność, czy powiadomienie dalszych przetwarzających o zaistniałej sytuacji. Jeżeli żaden z określonych w RODO wyjątków nie znajduje zastosowania, dane należy niezwłocznie usunąć.

Odpowiednie reguły postępowania powinieneś ustanowić także na wypadek wycofania, przekazania lub naprawy nośnika. W każdym z tych przypadków musisz zadbać o nieodwracalne usunięcie lub zniszczenie danych, co zawsze powinno być poddane stosownej kontroli oraz protokołowane. W razie konieczności naprawy nośnika, przed zniszczeniem lub usunięciem z niego danych, należy zapisać je w innym, bezpiecznym miejscu.

Podsumowanie

Przetwarzając dane osobowe, prędzej czy później staniesz przed koniecznością ich usunięcia lub zniszczenia. Warto zatem zawczasu przygotować odpowiednie procedury tych czynności, a w razie potrzeby nawiązać współpracę z profesjonalnymi podmiotami zajmującymi się utylizacją nośników.

Ważne, byś zrobił to bez presji czasu, z uwzględnieniem wszystkich dających się przewidzieć okoliczności, choćby ich wystąpienie było mało prawdopodobne. Dodatkowe koszty są w tym wypadku nieuniknione, lecz bezpieczeństwo i profesjonalizm działalności są warte tego, by je ponieść.

Autorzy: Arkadiusz Szczudło, Konrad Cichoń

Arkadiusz Szczudło

Autor: Arkadiusz Szczudło

Opiekun bloga FutureTech.legal. Prawnik w Kancelarii Snażyk Korol Mordaka sp.k. Specjalizuje się w prawie własności intelektualnej, nowych technologii, reklamy i mediów oraz ochronie marki i zwalczaniu nieuczciwej konkurencji.