Jednym z uprawnień przysługujących podmiotowi danych jest prawo ograniczenia przetwarzania danych. Jest to mniej popularne uprawnienie, którego jednak nie należy mylić np. z prawem do „bycia zapomnianym”. Jak zrealizować to uprawnienie na żądanie osoby, której dotyczą dane? Odpowiedź znajdziesz w temacie tygodnia.
Ograniczenie przetwarzania danych, jak sama nazwa wskazuje, pozwala na nałożenie na administratora danych limitów. Ograniczenia mają charakter czasowy i obowiązują najczęściej przez okres wymagany do usunięcia pewnych wad czy błędów w zakresie przetwarzania. Jest to zatem rozwiązanie, po które podmiot danych sięgnie wówczas, gdy będzie chciał całkowicie zaprzestać przetwarzania danych osobowych, ale z uwagi na przypuszczalne nieprawidłowości zażyczy sobie czasowego wstrzymania ich przetwarzania. Tym właśnie uprawnienie do ograniczenia przetwarzania różni się od prawa do bycia zapomnianym, które wiąże się z definitywnym zaprzestaniem przetwarzania danych.
4 przypadki, w których administrator może spodziewać się żądania ograniczenia przetwarzania (art. 18 ust. 1 RODO)
Uprawnienia do ograniczenia przetwarzania nie powinniśmy mylić z ograniczeniem przetwarzaniajako środkiem prawnym przysługującym Prezesowi UODO w ramach postępowania w sprawie stwierdzenia naruszenia ochrony danych. Organ nadzoru może postanowić.
W takiej sytuacji to Prezes UODO decyduje o okresie i zakresie ograniczenia przetwarzania, to jednak jest to zupełnie inna instytucja. Rozwiązanie to stosuje się, gdy w toku postępowania zostanie uprawdopodobnione, że:
Ograniczenie przetwarzania danych osobowych nie skutkuje jednak całkowitym zakazem ich przetwarzania. Mimo ograniczenia można bowiem przetwarzać dane::
Pacjent żąda ograniczenia przetwarzania danych dotyczących zdrowia. Tymczasem szpital dalej przetwarza te dane na podstawie art. 9 ust. 2 lit. h RODO, zgodnie z którym przetwarzanie danych osobowych szczególnej kategorii jest dopuszczalne, gdy to niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia. Na ograniczenie nie pozwalają w tej sytuacji ważne względy interesu publicznego państwa członkowskiego nie pozwalają na ograniczenie przetwarzania danych. Wrażliwe dane osobowe konkretnego pacjenta rzeczywiście są niezbędne np. do profilaktyki zdrowotnej (informacja o szczepieniach).
Krok 1.
Administrator danych osobowych stwierdza, jakie dokładnie dane podlegają ograniczeniu (identyfikuje te dane).
Krok 2.
Administrator odpowiednio oznacza dane objęte żądaniem ograniczenia przetwarzania
Krok 3.
Administrator dokonuje ograniczenia, w szczególności poprzez:
W następstwie ograniczenia przetwarzania danych osobowych administrator może jedynie te dane przechowywać. Dane te mogą mieć pozostawać zapisane np. w bazie danych, w dokumentach w segregatorach lub w korespondencji e-mail. Natomiast nie można danych objętych ograniczeniem m.in.:
Administrator otrzymuje zgłoszenie odnośnie błędnego brzmienia nazwiska osoby, której dane dotyczą. W związku z tym stwierdza, w jakich systemach informatycznych nazwisko to jest wpisane błędnie. Następnie zaznacza we właściwościach rekordu bazy danych, w której jest zapisane nazwisko, że dana ta podlega ograniczeniu przetwarzania. Pozostaje więc jedynie możliwość przechowywania tego nazwiska – nie można wykonywać żadnej innej operacji.
Oczywiście należy mieć tu na względzie specyfikę wynikającą z rozwiązań technicznych, z których korzysta dany administrator. Przykładowo jeżeli administrator posługuje się zautomatyzowanymi zbiorami danych, wówczas ograniczenie przetwarzania powinno nastąpić w za pomocą takich środków technicznych, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy przy tym wyraźnie zaznaczyć w systemie. Z kolei w przypadku danych przetwarzanych za pomocą aplikacji komputerowych dane objęte ograniczeniem nie mogą być dostępne w tzw. front-endzie, a więc dla użytkownika końcowego. Innymi słowy system informatyczny (na poziomie samej bazy danych lub konkretnego CRM) powinien przed obróbką danych (np. wyświetleniem ich na ekranie czy skierowaniem do druku) sprawdzać, czy dane nie zostały oznaczone, a jeżeli tak, to pomijać je przy dalszych operacjach.
Wprawdzie RODO nie obliguje administratora do wprowadzenia wewnętrznej procedury realizacji żądania ograniczenia przetwarzania. Niemniej jednak nic nie stoi na przeszkodzie wprowadzeniu takiej procedury. Rozwiązanie takie pozwoli pracownikom zwiększyć skuteczność w wykonywaniu obowiązków na rzecz administratora.
|
Co może znaleźć się w procedurze ograniczenia przetwarzania danych |
|
|
Forma wniosku o ograniczenie przetwarzania |
Wniosek do administratora o ograniczenie przetwarzania danych osobowych wnioskodawcy może być złożony w dowolnej formie, także ustnej lub elektronicznej. Nie wolno uzależniać skuteczności wniosku od określonej formy. |
|
Weryfikacja tożsamości wnioskodawcy |
Potwierdzenie tożsamości wnioskodawcy podczas rozmowy telefonicznej powinno nastąpić poprzez weryfikację hasła lub odpowiedzi na wybrane przez tę osobę pytanie. Jeżeli pracownik ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, może zażądać dalszych informacji niezbędnych do potwierdzenia tożsamości podmiotu danych. |
|
Weryfikacja wniosku |
Pracownik rozpatrujący zgłoszenie podmiotu danych ustala, czy żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter. W takim wypadku należy od podmiotu danych albo pobrać rozsądną opłatę, uwzględniającą administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań, albo odmówić podjęcia działań w związku z żądaniem. Pracownik jest zobowiązany zachować dowody umożliwiające wykazanie, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter. Musi też poinformować o przyczynach i przesłankach osobę, której dane dotyczą. Wezwanie podmiotu danych do uiszczenia opłaty może być zawarte w piśmie stanowiącym odpowiedź na pisemny wniosek lub przekazane ustnie, gdy osoba, której dane dotyczą, w ten sposób formułuje swój wniosek. Ewidentnie nieuzasadnione jest w szczególności żądanie, z którego treści wynika, że nie ma żadnego związku faktycznego pomiędzy wnioskodawcą a administratorem. |
|
Realizacja wniosku |
Spełnienie żądania ograniczenia przetwarzania danych polega na oznaczeniu danych i ograniczeniu ich przetwarzania do przechowywania danych. |
|
Informacja o stanie realizacji żądania |
Niezwłocznie (nie później niż w terminie miesiąca od otrzymania żądania) pracownik przekaże podmiotowi danych informacje o działaniach podjętych w związku z żądaniem. Termin ten można przedłużyć o kolejne dwa miesiące wyłącznie ze względu na skomplikowany charakter żądania lub liczbę żądań zgłaszanych administratorowi. Informacje są przekazywane podmiotowi danych w takiej formie, w jakiej zostało zgłoszone żądanie podmiotu danych. O spełnieniu żądania pracownik informuje podmiot danych i wskazuje mu sposób realizacji żądania. |
|
Pouczenia dla wnioskodawcy |
Niezwłocznie (nie później niż w terminie miesiąca od otrzymania żądania) pracownik przekaże podmiotowi danych informacje o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem (treść pouczenia: „Administrator danych osobowych informuje, że przysługuje Pani/Panu prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych”). |
Co istotne administrator, który usunął daną nieprawidłowość (czyli podstawę ograniczenia przetwarzania), może samodzielnie powrócić do przetwarzania danych tak, jak przed ograniczeniem. O podjęciu przetwarzania danych powinien on poinformować podmiot danych, który żądał ograniczenia.
Zobacz także: Informacja o uchyleniu ograniczenia przetwarzania
Naruszenie przepisów RODO w zakresie ograniczenia przetwarzania podlega zasadniczo takim samym karom pieniężnym jak w przypadku innych nieprawidłowości. Administrator może więc liczyć się z karą pieniężną w wysokości do 20 mln euro, a jeżeli jest przedsiębiorstwem − w wysokości do 4% jego całkowitego rocznego obrotu z poprzedniego roku obrotowego w zależności od tego, która kwota jest wyższa (art. 83 ust. 5 lit. e RODO).
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
