RODO i artykuł 17, czyli prawo do bycia zapomnianym

wtorek, 20 marca 2018 przez Aleksandra Otrębska

Prawo do usunięcia danych, czy też prawo do bycia zapomnianym może okazać się dla administratorów danych osobowych nieco problematyczne. Jedno jest pewne – łatwo nie będzie.

Po pierwsze, trzeba dokładnie wiedzieć, o czym należy „zapomnieć”, czyli jakie dane konkretnie trzeba usunąć. Z drugiej strony, trzeba wiedzieć, jak „zapomnieć” wszystko tak, by po danych nie pozostał żaden ślad.

Zagłębmy się w temat ochrony danych

Na początek warto przywołać część omawianego artykułu (ust. 1):

„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: (…)”

Z przytoczonego fragmentu ustawy jasno wynika, że administratorzy danych osobowych i podmioty, które takie dane przetwarzają, będą musieli na nowo zrewidować sposób, w jaki postępują z owymi danymi. Mówiąc najprościej: nie życzysz sobie, żeby jakaś firma przetwarzała i przechowywała dłużej w bazie Twoje dane? Administator będzie musiał je w całości usunąć z systemu.

Kwestie te staną się kluczowe najpóźniej pod koniec maja, kiedy to nowe przepisy UE wejdą w życie. Za nieprzestrzeganie unijnych regulacji będą groziły naprawdę spore kary finansowe, które mogą sięgać nawet 4% globalnych przychodów firmy lub 20 mln euro.

Krótko mówiąc, firmy będą zmuszone do natychmiastowego usunięcia danych osobowych, jeżeli:

  • dane te nie są już potrzebne do celów, dla których zostały wcześniej zgromadzone lub w inny sposób przetworzone,
  • jeżeli osoba, której dotyczą dane, wycofa swoją zgodę na ich przetwarzanie i nie ma innych podstaw prawnych do przetwarzania tych danych,
  • osoba, której dotyczą dane, sprzeciwi się dalszemu przetwarzaniu i nie ma innych podstaw do przetwarzania tych danych,
  • dane osobowe zostały przetworzone w nieprawidłowy, niezgodny z prawem sposób,
  • usunięcie danych osobowych jest wymagane w celu wypełnienia obowiązku prawnego wynikającego z regulacji Unii Europejskiej lub prawa krajowego.

W tych przypadkach nie wystarczy po prostu wyrzucić nośnika z danymi na śmietnik. Oprócz ustanowienia odpowiednich procesów kasowania należy także zapewnić poprawność wykonania tych procesów. Jak? Na przykład przez zniszczenie nośnika z danymi lub bezpieczne (całkowite) skasowanie z niego danych, jeżeli ma być on ponownie wykorzystywany.

Wiele firm wykorzystuje dane osobowe swoich klientów czy partnerów biznesowych z różnych powodów i na potrzeby różnych działów. Po wejściu w życie nowych przepisów przedsiębiorstwa będą zobligowane do wyjaśnienia, jakie dokładnie dane przechowują, do kogo należą, na jakich warunkach zostały zgromadzone, gdzie zostały zapisane i gdzie są przechowywane.

Jeżeli powyższe kwestie zostaną ustalone, należy zastanowić się, co ma być „zapomniane”. W tym celu trzeba odpowiedzieć sobie na kilka pytań. Czy te dane są nadal potrzebne? Jeżeli tak, to który dział ich potrzebuje i w jakim celu? Gdzie i jak długo mogę przechowywać wymagane dane? A co w sytuacji, kiedy dane zostały już przekazane stronie trzeciej? Również w tym przypadku administrator jest zobowiązany, w miarę możliwości, do ich usunięcia.

Artykuł 17 a dane udostępnione stronie trzeciej

„Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.”

Jeżeli wszystkie omawiane kwestie zostaną całkowicie wyjaśnione, dane należy bezpiecznie usunąć. Jednak trzeba pamiętać, że mogą one wciąż tkwić w różnych zakamarkach… Na przykład, kiedy usuwamy maila z folderu „Odebrane”, trzeba wziąć pod uwagę fakt, że wciąż znajduje się on w folderze „Kosz”. Niby logiczne, ale…

Ponieważ usunięcie danych zgodnie z artykułem 17 GDPR będzie musiało zostać wykonane natychmiast po złożeniu wniosku, zalecamy przygotowanie się na takie żądania jeszcze przed wejściem regulacji w życie. Jak? Na przykład poprzez zakup oprogramowania do całkowitego kasowania danych, które dodatkowo będzie posiadało certyfikaty i rekomendacje właściwych instytucji krajowych i międzynarodowych.