Archiwalny

Usunięcie danych osobowych – jak je bezpiecznie przeprowadzić

Marcin Sarna

Autor: Marcin Sarna

Dodano: 4 września 2017
Dokument archiwalny
Usunięcie danych osobowych – jak je bezpiecznie przeprowadzić

Przetwarzanie danych osobowych to także ich usuwanie. Sprawdź, w jaki sposób bezpiecznie usunąć dane osobowe. Dowiedz się, jakich wymogów formalnych musisz dopełnić, gdy zdecydujesz się, że będziesz usuwał dane osobowe i czy musisz uzyskać w tym celu zgody osób, których dane chcesz usunąć.

Z przetwarzaniem danych osobowych mamy do czynienia w przypadku jakiejkolwiek operacji dokonywanej na danych osobowych. Taką operacją jest zgodnie z ustawą o ochronie danych osobowych na przykład:  zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz – uwaga – usuwanie tych danych. Nie ma przy tym znaczenia, czy usuwanie odbywa się „tradycyjnie” (np. przez zniszczenie dokumentu papierowego zawierającego listę klientów), czy elektronicznie (np. przez usunięcie pliku z listą klientów). Pod pojęciem usuwania danych osobowych kryje się:

  • zniszczenie danych osobowych lub
  • modyfikacja danych osobowych, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

Zniszczenie danych osobowych

W przypadku zniszczenia danych osobowych mamy do czynienia z unicestwieniem danych osobowych. Chodzi np. o fizyczne unicestwienie nośników danych osobowych, które uniemożliwia odtworzenie informacji na nich zawartych. Zniszczenie danych osobowych jest zawsze dokonywane w celu pozbawienia kogokolwiek jakiejkolwiek możliwości dalszego dokonywania wszelkich operacji na tych danych. Ma to więc zapobiec możliwości dalszego przetwarzania danych osobowych.

Istotne w praktyce usuwania danych osobowych jest odróżnianie dwóch pojęć: danych osobowych i nośników danych. Ustawodawcy zależy na tym, aby administrator danych usunął te dane, a nie sam nośnik. Nośnikami danych, zgodnie ze słownikowym rozumieniem tego pojęcia, są „fizyczne ośrodki przeznaczone do przechowywania danych”. Mogą to być np. dyski twarde, akta, papierowe kartoteki czy pisemne protokoły. Ważne jest, aby zostały usunięte dane, a nie nośnik. Usunięciem danych osobowych nie będzie więc takie zniszczenie dysku twardego, które wprawdzie uniemożliwia korzystanie z tego dysku, ale nie niweczy możliwości odzyskania danych na nim zapisanych.

Modyfikacja danych osobowych

Drugi ze sposobów usunięcia danych osobowych (czyli ich modyfikacja) to podjęcie takiej czynności w stosunku do danych osobowych, która spowoduje ich anonimizację. Tą anonimizacją jest pozbawienie informacji cech danych osobowych. Dokonując anonimizacji, trzeba pamiętać, że:

  • dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
  • danymi osobowymi nie są informacje, za pomocą których nie da się określić tożsamości osoby bez podjęcia nadmiernych kosztów, czasu lub działań.

Pracownicy administratora danych dokonujący anonimizacji (np. przed przekazaniem dokumentów do archiwum zewnętrznego) mogą to robić na przykład poprzez usunięcie tej części informacji, która ma charakter osobowy (tj. wskazuje na konkretną osobę fizyczną). Celem zawsze musi bowiem być uniemożliwienie połączenia pozostałych informacji z konkretną osobą fizyczną. I tu dochodzimy do różnicy pomiędzy zniszczeniem a modyfikacją danych osobowych – w tym ostatnim przypadku możliwe jest pozostawienie tej części informacji, która zarówno samodzielnie, jak i łącznie z innymi informacjami nie pozwala już na zidentyfikowanie konkretnej osoby fizycznej.

PRZYKŁAD

Nieprawidłowa modyfikacja

Biuro rachunkowe stworzyło listę klientów ze wskazaniem imion i nazwisk lub firm oraz posiadanych przez nich, wybranych cech (np. adres siedziby lub miejsca prowadzonej działalności gospodarczej, wysokość kapitału zakładowego, EBITDA). Jeżeli z listy usuniemy imiona i nazwiska lub firmy poszczególnych klientów, to zmodyfikujemy dane w ten sposób, że nie będziemy mogli już przyporządkować zestawu cech do konkretnej osoby fizycznej będącej naszym klientem.

Ale uwaga – nie zawsze tak będzie.

Załóżmy, że tak okrojoną informację będzie można zestawić z pozyskaną z innego źródła listą imion i nazwisk lub firm naszych klientów, a ponadto, że z tak okrojonej informacji wynika, iż wśród klientów znajduje się tylko jedna osoba prowadząca działalność gospodarczą w Puławach. Oczywiste będzie, że uda się zidentyfikować tę spółkę i podać jej nazwę.

Mimo dokonanej modyfikacji można, łącznie z innymi informacjami, wskazać na konkretną osobę fizyczną. Modyfikacja nie była więc przeprowadzona w prawidłowy sposób.

Usuwanie, zaprzestanie i wstrzymanie przetwarzania – czy to to samo

Przepisy niekiedy nakazują administratorowi danych nie usunięcie danych, ale „zaprzestanie ich przetwarzania”. Na przykład w razie wniesienia przez jakąś osobę żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie Generalnemu Inspektorowi Ochrony Danych Osobowych, który wydaje stosowną decyzję. Nierzadko strony umów (np. umowy zawartej przez biuro rachunkowe z kancelarią prawną o powierzenie przetwarzania danych osobowych) same obligują się wzajemnie do usunięcia i zaprzestania przetwarzania danych w przypadku zaprzestania dalszej współpracy.

Z jeszcze inną sytuacją mamy do czynienia na gruncie art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych, który przyznaje każdej osobie prawo do żądania czasowego lub stałego „wstrzymania” przetwarzania danych osobowych jej dotyczących, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

O co chodzi?

Moim zdaniem zarówno „wstrzymanie przetwarzania danych osobowych”, jak i „zaprzestanie” ich przetwarzania to synonimy. Znaczą one jednak coś zupełnie innego niż „usuwanie” danych osobowych. W przypadku zaprzestania (oraz wstrzymania) przetwarzania danych osobowych administrator danych nie musi ich usuwać ze zbioru danych, ale jest zobowiązany powstrzymać się przed dokonywaniem jakichkolwiek operacji na tych danych. Takie rozumienie trzech analizowanych terminów wydaje się uzasadnione także podczas interpretowania umów cywilnoprawnych, w których pojęcia te zostały użyte.

Jakie obowiązki w związku z usunięciem danych ma administrator danych

Regulacja kwestii usuwania danych osobowych na poziomie ustawowym jest raczej skromna. Oznacza to, że na administratorze danych spoczywa obowiązek zapewnienia prawidłowości przebiegu usuwania danych osobowych, przez co należy rozumieć:

  • podejmowanie decyzji o usunięciu danych osobowych,
  • wybranie sposobu usunięcia danych osobowych (zniszczenie lub modyfikacja),
  • wybranie metody zniszczenia lub modyfikacji danych osobowych, w tym postępowania z ich nośnikiem,
  • fizyczne wykonanie zniszczenia lub modyfikacji i udokumentowanie tego zdarzenia.

Czy osoba, której dane chcesz usunąć, musi się na to zgodzić

Usunięcie danych osobowych, czyli zarówno zniszczenie, jak i ich modyfikacja nie wymaga zgody osoby, której dane dotyczą. Mówiąc wprost: administrator danych może je usunąć w dowolnym momencie i z jakiejkolwiek przyczyny. Do usunięcia danych osobowych nie jest w szczególności konieczne zaistnienie którejkolwiek z przesłanek legalizujących przetwarzanie danych osobowych.

Oznacza to, że administrator danych nie musi się zastanawiać, czy np. usunięcie danych jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W przeciwnym wypadku mogłoby się okazać, że np. administrator danych nie może sprzedać zużytego komputera, gdyż na uprzednie usunięcie z niego danych osobowych nie zgodził się jakiś jego klient.

Przed podjęciem decyzji o usunięciu danych zawsze należy przeanalizować, czy usunięcie danych jest możliwe w świetle postanowień zawartych umów. Może być bowiem tak, że np. zawarcie umowy z klientem zobowiązuje nas do przetwarzania jego danych osobowych w związku z obsługą finansowo-księgową. Jeżeli więc współpraca z klientem ustaje, to możemy jego dane osobowe usunąć z naszej bazy danych, ale tylko w świetle przepisów dotyczących ochrony danych osobowych. Jeżeli te dane usuniemy, to nie będziemy przecież w stanie prawidłowo zrealizować reklamacji, a tym samym wykonać umowy, co może nas w konsekwencji kosztować konieczność wypłaty odszkodowania. Dlatego prawidłowa kolejność powinna być następująca: rozwiązanie umowy z klientem i usunięcie jego danych – a nie na odwrót.

Usunięcie danych osobowych – wybierz odpowiedni sposób

To, czy w danym przypadku powinno nastąpić zniszczenie, czy też modyfikacja danych osobowych, warto uregulować w wewnętrznych przepisach administratora danych. Chodzi o to, aby przynajmniej w najczęstszych lub najistotniejszych przypadkach osoba upoważniona do przetwarzania danych w imieniu administratora danych nie miała wątpliwości odnośnie do sposobu ich zniszczenia.

PRZYKŁAD

Przykładowy zapis odnoszący się do usuwania danych osobowych zamieszczony w wewnętrznych przepisach administratora danych może brzmieć następująco:

„Dane osobowe znajdujące się na elektronicznych nośnikach danych niszczone są niezwłocznie po ustaniu celu ich przechowywania. Za zniszczenie danych osobowych odpowiada użytkownik”.

Użyte w powyższym przykładzie słowo „niszczenie” nie odpowiada wprawdzie dokładnie charakterystyce danych osobowych przetwarzanych w formie elektronicznej, przez co może zachęcić użytkownika do zniszczenia nośnika danych, ale jest prawidłowe z prawnego punktu widzenia. Z tego powodu wydaje się zasadnym zdefiniowanie w regulacji wewnętrznej zarówno tego, na czym polega zniszczenie i zmodyfikowanie danych przechowywanych zarówno w formie papierowej, jak i elektronicznej. Wydaje się, że zasadniczo bezpieczniejszym dla administratora danych (a co za tym idzie – domyślnym) rozwiązaniem powinno być niszczenie danych.

W pewnych sytuacjach całkowite usunięcie danych nie jest możliwe

Brytyjski odpowiednik polskiego Generalnego Inspektora Ochrony Danych Osobowych zauważył, że całkowite usunięcie danych osobowych z systemów informatycznych nie zawsze jest możliwe. Chodzi tu chociażby o takie sytuacje jak uprzednie kopiowanie danych osobowych w ramach kopii zapasowych systemu czy przechowywanie danych osobowych połączonych z innymi danymi w ten sposób, że nie jest możliwe precyzyjne wydzielenie danych osobowych i ich zniszczenie, a zniszczenie całego zbioru danych nie wchodzi w rachubę. Z tych powodów należy zalecić, aby administrator danych przynajmniej:

  • zrobił wszystko, co może, aby usunąć dane osobowe z możliwie każdej lokalizacji, w jakiej zostały utrwalone, bez usuwania innych danych,
  • powstrzymał się od jakiegokolwiek przetwarzania danych osobowych pozostawionych np. w formie kopii zapasowej, z której danych tych nie da się usunąć bez poważnego nakładu sił i środków.

Usunięcie danych może także polegać na zniszczeniu nośnika tych danych razem z samymi danymi. Tak będzie najczęściej w przypadku przechowywania danych osobowych w tradycyjnej formie pisemnej. Wymóg zniszczenia danych osobowych spełnia „przepuszczenie” dokumentu przez niszczarkę lub jego spalenie. Samo usuwanie danych osobowych lub ich modyfikowanie może być przeprowadzane okresowo, jeżeli nie jest wymagane natychmiastowe zniszczenie danych osobowych. Wówczas w celu zniszczenia większej partii danych można powołać komisję.

Pamiętaj! Udokumentuj zniszczenie danych osobowych

Niezależnie od tego, czy dane są niszczone komisyjnie, czy też „na bieżąco” przez osobę dopuszczoną przez administratora danych do ich przetwarzania, ze zniszczenia danych powinien pozostać jakiś ślad. Może to być np. log komputerowy wskazujący na dokładny czas usunięcia danych i osobę, który dane usunęła. W przypadku działań komisji warto pokusić się o formę protokołu, w którym zostaną wskazane:

  • rodzaj i nazwa zbioru usuwanych danych,
  • podstawa prawna usunięcia danych osobowych ze zbioru danych (można tu wskazać także np. wewnętrzną regulację),
  • opis usuniętych danych osobowych,
  • skład komisji usuwającej dane osobowe,
  • opis sposobu usunięcia danych osobowych,
  • datę i miejsce usunięcia danych osobowych,
  • podpisy członków komisji.
Uwaga

Protokół z usunięcia danych osobowych powinien być przechowywany przez administratora danych osobowych lub administratora bezpieczeństwa informacji na potrzeby ewentualnej kontroli przeprowadzonej przez inspektorów Biura Generalnego Inspektora Ochrony Danych Osobowych.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x