Zaprzestanie przetwarzania danych osobowych


Wiadomo, co zrobić, żeby móc legalnie przetwarzać dane osobowe. Gorzej jest z zaprzestaniem tego przetwarzania. Usunięcie danych nie zawsze jest możliwe. A czy bez ich usuwania można mówić o zaprzestaniu przetwarzania?

Wiele publikacji poświęcono kwestii pozyskiwania danych osobowych w celu ich legalnego przetwarzania. Rzadziej pisze się o sytuacji, w której trzeba zaprzestać dalszego przetwarzania danych. Od razu pojawia się problem terminologiczny: na czym owo „zaprzestanie” ma polegać? Czy jest ono równoznaczne z „usunięciem”? A co jeżeli w umowie o powierzeniu danych osobowych w celu ich przetwarzania przetwarzający zobowiązał się i do „zaprzestania przetwarzania”, i do „usunięcia” powierzonych mu danych? Aby rozstrzygnąć wątpliwości, należy zgłębić te pojęcia w oparciu o odpowiednie przepisy dotyczące ochrony danych osobowych.

Koniec przetwarzania

Art. 32 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (u.o.d.o.) zawiera dwa istotne przepisy wskazujące jak postępować, gdy nie można dalej przetwarzać danych osobowych danej osoby.

Przepis art. 32 ust. 3 u.o.d.o. wskazuje, iż wniesienie sprzeciwu co do przetwarzania danych w celach marketingowych lub przekazywania danych osobowych innemu administratorowi danych powoduje, iż dalsze przetwarzanie danych jest niedopuszczalne; administrator danych może jednak pozostawić w zbiorze danych imię i nazwisko osoby wnoszącej sprzeciw, jak również jej numer PESEL i adres. Dane te pozostawia się wyłącznie po to, by uniknąć wykorzystania danych osoby wnoszącej sprzeciw w celach nim objętych. Przepis ten upoważnia zatem administratora danych do pozostawienia danych w zbiorze i nie wymusza usunięcia całego rekordu z kwestionowanymi danymi. Warto jednak zauważyć, że przepis ten nie zawiera ani pojęcia „zaprzestanie”, ani „usunięcie”.

Zaprzestanie to nie usunięcie

O „zaprzestaniu” jest natomiast mowa w drugim ze wspomnianych przepisów, a mianowicie w art. 32 ust. 2 u.o.d.o. Stanowi on, iż w razie otrzymania odpowiedniego żądania administrator danych „zaprzestaje” przetwarzania „kwestionowanych danych osobowych”. Z kolei art. 32 ust. 1 pkt 6 u.o.d.o. rozróżnia „wstrzymanie przetwarzania” i „usunięcie” danych osobowych (przepis ten przyznaje osobie, której dane dotyczą, roszczenie o „czasowe lub stałe wstrzymanie (…) przetwarzania”, jak również roszczenie o ich „usunięcie”). W związku z tym wydaje się, że użyte w przepisie art. 32 ust. 2 u.o.d.o. słowo „zaprzestaje” należy rozumieć jako zakończenie przetwarzania danych, ale nie ich usunięcie ze zbioru danych. Dane mogą w zbiorze pozostać, ale nie mogą być przedmiotem jakichkolwiek operacji dokonywanych przez administratora danych.

Interpretacja przepisu art. 32 ust. 2 u.o.d.o. byłaby prostsza, gdyby ustawodawca zamiast o „zaprzestaniu” mówił o „wstrzymaniu”, tak jak w przepisie art. 32 ust. 1 pkt 6 u.o.d.o. W obecnym brzmieniu przepisów można się jedynie domyślać, że „zaprzestanie” przetwarzania danych jest tożsame ze stałym wstrzymaniem ich przetwarzania, o którym mowa w przepisie art. 32 ust.1 pkt 6 u.o.d.o.

Z powyższych wywodów wynika, że klauzule umowne nakazujące stronom umowy „zaprzestanie” przetwarzania danych nie oznaczają, iż podmiot zobowiązany do „zaprzestania” przetwarzania określonych danych osobowych będzie automatycznie zobowiązany do ich usunięcia ze zbioru danych. „Zaprzestanie” przetwarzania danych będzie jedynie oznaczało niedokonywanie operacji z kwestionowanymi danymi osobowymi bez konieczności usuwania ich ze zbioru.

Łatwo powiedzieć, trudniej zrobić

W przypadku danych przetwarzanych w systemach informatycznych operacja zaprzestania przetwarzania danych nie powinna nastręczać trudności – przynajmniej w odniesieniu do większości systemów. Większym problemem może być konieczność usunięcia danych osobowych. Zgodnie z definicją zawartą w art. 7 pkt 3 u.o.d.o. usuwanie danych to ich zniszczenie lub taka modyfikacja, która nie pozwoli na ustalenie tożsamości danych osobowych osoby, której dane dotyczą. Wydawałoby się, że w przypadku systemów informatycznych jest to prosta operacja – dane są usuwane i już. Pozostaje jednak kwestia danych osobowych znajdujących się w kopiach zapasowych systemu, danych osobowych przechowywanych łącznie z innymi danymi w sposób niedający możliwości usunięcia części przechowywanych danych, jak również ewentualny wpływ usunięcia rekordu z danymi osobowymi na pracę oprogramowania agregującego dane zawarte w rekordach.

Osobną kwestią, w przypadku danych znajdujących się w zbiorach dostępnych publicznie w Internecie, jest zablokowanie możliwości wyszukiwania tych danych przez wyszukiwarki: większość wyszukiwarek jest w stanie wyszukać nie tylko dane „aktualne”, ale również takie, które ze zbiorów dostępnych publicznie zostały już usunięte. Niestety w świecie cyfrowym, w odróżnieniu od świata analogowego, nie ma całkowitej pewności, że zwykłe usunięcie rekordu z systemu informatycznego zawierającego dane osobowe spowoduje – tak jak sobie życzy ustawodawca – „zniszczenie danych”. Podobnie będzie w przypadku takiej modyfikacji danych osobowych, by nie pozwalały one na ustalenie tożsamości konkretnej osoby – w systemie informatycznym może (np. w kopii zapasowej) nadal istnieć rekord w postaci niezmodyfikowanej.

Jak to się robi na Wyspach

W praktyce może się zatem okazać, że całkowite usunięcie danych osobowych nie będzie możliwe. Problem ten został już zauważony przez brytyjski organ nadzoru w zakresie ochrony danych osobowych, Information Commissioner’s Office (ICO), który opublikował wytyczne odnośnie do usuwania danych osobowych. ICO wskazał sytuacje, w których usunięcie danych z systemów informatycznych nie będzie możliwe, i przyjął, iż taki stan rzeczy jest dopuszczalny, o ile zachowane są następujące warunki:

  • administrator danych dopełnił wszystkich tych czynności w celu usunięcia danych, które nie powodują usunięcia innych danych i nie zakłócą prawidłowego funkcjonowania systemu informatycznego, z którego są usuwane,
  • administrator danych nie dokonuje i nie będzie dokonywał jakichkolwiek operacji z tymi danymi, a w szczególności nie będzie ich udostępniał jakiejkolwiek osobie trzeciej,
  • administrator danych zastosuje odpowiednie środki organizacyjne i techniczne w celu uniemożliwienia dostępu do usuwanych danych,
  • administrator danych usunie dane całkowicie i trwale natychmiast gdy będzie to możliwe.

Należałoby oczekiwać, że również polski Generalny Inspektor Ochrony Danych Osobowych przyjmie podobne podejście do usuwania danych z systemów informatycznych. Zanim jednak (i jeśli w ogóle) to nastąpi, administratorzy danych powinni przeanalizować stosowane w swoich systemach informatycznych procesy związane z usuwaniem danych i wyjaśnić osobom, których dane są przetwarzane, na czym będzie polegało usunięcie ich danych osobowych. Wyjaśnienie to mogłoby np. polegać na zamieszczeniu odpowiednich informacji w regulaminach przetwarzania danych osobowych. Jeżeli całkowite i trwałe usunięcie danych osobowych nie od razu będzie możliwe, informacja taka powinna jasno i wyraźnie to wskazywać.

Marek Szydłowski, Zespół Prawa Ochrony Prywatności i Danych Osobowych kancelarii Wardyński i Wspólnicy