Jak usunąć dane osobowe?

Czas czytania: 5 minut

Co zrobić z danymi osobowymi zalegającymi w folderach i segregatorach sprzed ery RODO?

W dniu 25 maja wszystko się zmieniło. W życie weszło RODO i już kilka miesięcy wcześniej zaczęło siać postrach. Tak w skrócie można określić to co działo się ponad rok temu, czyli w okolicy maja 2018 r.

Jak w każdej firmie pewnie posiadasz różne foldery, dyski zewnętrzne z danymi, które „może kiedyś się przydadzą” albo segregatory z dokumentami czy nawet dyskietki. Jedna są potrzebne, inne mniej, ale wszystkie „mogą się kiedyś przydać”.

Co na to RODO? Czy można przetrzymywać dane, które zebrało się jeszcze przed erą RODO? Co z nimi zrobić? Jak usunąć dane? Wykasować? A może jest szansa, żeby jednak je pozostawić?

W dzisiejszym wpisie pomogę Ci to ustalić. A jeśli wolisz oglądać i słuchać to koniecznie obejrzyj #LegalnąKawę nr 61 – jak usunąć dane, w której poruszam ten temat, na żywo, na moim fanpage Managerka Umów (nagranie poniżej).

https://www.facebook.com/ManagerkaUmow/videos/381764449132495/

Sprawdź co masz u siebie – inwentaryzacja

Ważne jest, żeby sprawdzić wszystkie obszary związane z przetwarzaniem danych osobowych. Mogą one znajdować się w komputerze, w chmurze np. Google Drive, Dropbox itp., w segregatorach, na stertach „jakiś” dokumentów, na strychu, jeśli pracujesz w domu, w archiwum, jeśli powierzasz dane odrębnej firmie lub we własnym archiwum np. domowym.

Istotne jest, żeby zidentyfikować dane osobowe.

Co jeśli okaże się, że jest tego bardzo dużo?

RODO nie pojawiło się nagle

Potocznie przyjmuje się, że RODO weszło w życie 25 maja 2018 r. Nic bardziej mylnego. RODO weszło w życie dwa lata wcześniej, a 25 maja zaczęło być w pełni stosowane. Wszyscy mieli dwa lata na dostosowanie się do nowej rzeczywistości. Z dniem 25 maja 2018 roku pojawiła się po prostu podstawa do nakładania administracyjnych kar pieniężnych (art. 83 RODO) czy też do dochodzenia odszkodowań dla każdej osoby, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO (art. 82
RODO).

To właśnie motyw 171 RODO, stanowi wyjaśnienie dla działań, które musiały zostać podjęte pomiędzy 24.05.2016 r. a 24.05.2018 r. Zgodnie z jego treścią: „Przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie (tj. 24.05.2016 r.) zostać dostosowane do jego przepisów”.

Każdy przedsiębiorca zatem miał 2 lata na zrobienie porządku w swoich dokumentach i folderach. Z dniem 25 maja 2018 r. wszystko powinno już działać jak w zegarku. Ale nie oszukujmy się – wiemy jaka jest rzeczywistość. Ani przedsiębiorcy ani nawet organy nie były właściwie przygotowane.

3 role małego przedsiębiorcy

Przedsiębiorca może występować w 3 rolach jeśli chodzi o definicje zawarte w RODO:

•  administratora,
• podmiotu przetwarzającego (procesora) oraz
• przedstawiciela.

Zajmiemy się oczywiście tą pierwszą rolą, bo jeśli prowadzisz biznes (niekoniecznie firmę) i przetwarzasz dane osobowe (a wręcz niemożliwe jest, żeby ich nie przetwarzać) to jesteś administratorem danych osobowych.

Zakres obowiązków małego i średniego przedsiębiorcy nie różni się od zakresu obowiązków dużych przedsiębiorstw. Niestety, kary również są takie same.

Jako administrator musisz wywiązać się z jednej, najważniejszej zasady RODO – rozliczalność. Musisz więc udowodnić, że wypełniłeś obowiązki wynikające z RODO. Niejako, zasada ta wprowadza domniemanie winy przedsiębiorcy – to ty musisz udowodnić, że przetwarzasz dane zgodnie z RODO.

Wspominane jest to w kilku miejscach w rozporządzeniu, np. w art. 24 ust. 1 – „administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbyło się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualnianie”.

Jak masz to zrobić? To już zależy od Ciebie.

O samym usuwaniu danych mówi np. art. 5 ust. 1 lit. d, stwierdzając, że dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane oraz że należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.

Jakie są obowiązki przedsiębiorcy?

Obowiązki przedsiębiorcy związane z przetwarzaniem danych w świetle RODO rozpoczynają się już w chwili przystąpienia do ich zbierania jako jednej z form przetwarzania. Proces ten należy ocenić przez pryzmat następujących przepisów:

•  art. 6 RODO (podstawy przetwarzania danych osobowych), 
•  art. 7 RODO (warunki wyrażenia zgody na przetwarzanie danych), 
•  art. 8 RODO (warunki wyrażenia zgody przez dziecko w przypadku świadczenia usług społeczeństwa informacyjnego) oraz 
• art. 9 RODO (dopuszczalność przetwarzania szczególnych kategorii danych – danych wrażliwych).

W momencie kiedy identyfikujesz dane należy sobie odpowiedzieć na pytanie – skąd ja je mam i czy mogę je nadal mieć zgodnie z RODO? A zgodnie z RODO oznacza, że opierasz się na wspomnianych wyżej przepisach (co najmniej).

Podstawy przetwarzania danych osobowych zostały wskazane w art. 6 ust. 1 RODO i są to:

1. Zgoda
2. Niezbędność do wykonania umowy
3. Obowiązek prawny
4. Ochrona żywotnych interesów
5. Zadanie realizowane w interesie publicznym
6. Prawnie uzasadniony interes administratora

Dla przesądzenia o tym, czy przetwarzanie jest dopuszczalne, wystarczy wykazanie istnienia jednej z tych przesłanek.

Jak usunąć dane?

Nie ma wyraźnych wytycznych w RODO jak usuwać dane. Należy to zrobić trwale i zgodnie z procedurami obowiązującymi w firmie.

Kroki, które należy podjąć:

•  Podjąć decyzję o usunięciu danego zakresu danych osobowych – bo np. ustała podstawa ich przetwarzania,
• Podjąć decyzję czy następuje trwałe usunięcie czy też anonimizacja np. w aktach pracowniczych,
• Zdecydować w jaki sposób to nastąpi, np. zniszczenie dokumentów w niszczarce, trwałe usunięcie folderów z danymi z komputera i z chmury,
• Wykonanie zniszczenia danych wraz z ich udokumentowaniem.

Czy trzeba dokumentować usunięcie?

Nigdzie w RODO nie ma takiego obowiązku, ale pamiętaj o wspomnianej zasadzie rozliczalności. Dobrę praktykąbędzie wskazanie z jakich powodów dochodzi do usunięcia.

Jeśli przetwarzasz dane legalne to warto wykazać, dlaczego te dane są usuwane. Powodem może być np. wycofanie zgody, zakończenie współpracy, zakończenie projektu itd.

Jeśli przetwarzasz dane, dla których nie znajdujesz podstawy prawnej uzasadniającej ich przetwarzanie, to wówczas musisz je po prostu usunąć bez żadnego dokumentowania.

Z kolei, jeśli chodzi o podmioty przetwarzające, to zgodnie z art. 28 ust. 3 lit. g  RODO, po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora podmiot przetwarzający usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

I taki zapis powinien znaleźć się również w umowie powierzenia danych.

Pamiętaj o art. 17 RODO – usuwanie danych na żądanie osoby!

Warto wspomnieć, przy okazji usuwania danych, o prawie do zapomnienia osoby, której dane przetwarzasz. W każdej chwili możesz otrzymać żądanie do usunięcia danych skierowane od takiej osoby.

Co wówczas należy zrobić?

Zastosować się do wewnętrznie istniejącej procedury odpowiadania na takie żądania. Powinno z niej wynikać jak zachować się w tej sytuacji. Art. 17 RODO wskazuje na okoliczności, które nakazują usunięcie danych osoby bez zbędnej zwłoki.

Procedura realizacji żądań kierowana od osób, które chcą usunięcia ich danych jest dostępna w Pakiecie RODO MUST HAVE, więc jeśli jeszcze nie masz Pakietu to koniecznie zajrzyj, co on zawiera i wdrażaj RODO czym prędzej (kliknij w baner).

Jak zalegalizować dane?

Z pewnością interesuje Cię jak zalegalizować dane osobowe, które posiadasz u siebie, a nie chcesz ich usuwać? Jest na to kilka sposobów. Oto niektóre z nich:

•  znaleźć podstawę przetwarzania tych danych
• wysłać obowiązek informacyjny tam, gdzie mamy podstawę dalszego
  przetwarzania danych
•  zapytać ponownie o zgodę, jeśli nie zawiera ona elementów wymienionych przez RODO
• zaktualizować umowy, które ciągle obowiązują
• podpisać umowy powierzenia danych, jeśli występujesz jako procesor (i przetwarzasz dane we wskazanym Ci przez innego administratora zakresie i celu)

Mam nadzieję, że ten wpis był dla Ciebie pomocny.

Jeśli chcesz więcej takich praktycznych porad to śledź mojego bloga legalnybiznesonline.pl, zapisz się też do grupy #Legalny Biznes Online na Facebooku. Odbywają się tam bezpłatne audyty biznesów online. Na przykładach stron www członków społeczności #Legalny Biznes Online pokazuję co poprawić, żeby być zgodnym z przepisami!

Już wiesz jak usunąć dane według RODO. Napisz w komentarzu jak Ty usuwasz niepotrzebne dane.

Zobacz też: 

Naruszenia ochrony danych osobowych – Jak je dokumentować ?

Wszystkiego Legalnego!
Ilona Przetacznik – Radca Prawny, doradca dla Twojego legalnego biznesu online