Kiedy i jak usuwać dane osobowe zgodnie z RODO? – poradnik

pexels-steve-johnson-850216
Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Spis treści

Jeżeli w toku swojej działalności przetwarzasz dane osobowe musisz mieć świadomość, że czas, kiedy to możesz robić jest ograniczony. Musisz usunąć lub zniszczyć przetwarzane dane osobowe.

Zgodnie z przepisami unijnego rozporządzenia o ochronie danych osobowych (RODO), dane osobowe można przetwarzać przez czas niezbędny do realizacji celu ich zebrania lub wyznaczony przez przepisy prawa (np. ustawy o rachunkowości). Po tym okresie masz obowiązek je usunąć, co w pewnych przypadkach będzie wiązało się także z ich zniszczeniem.

Konieczność taka może pojawić się także przed upływem okresu przetwarzania, np. w związku z wycofaniem lub sprzedażą nośników, na których zapisane są dane osobowe.

W niniejszym artykule znajdziesz odpowiedź na następujące pytania:

  1. Czym różni się usuwanie danych osobowych od ich niszczenia?
  2. Jak prawidłowo usuwać i niszczyć dane osobowe?
  3. W jakich przypadkach prawo nakazuje usunięcie danych osobowych?

Usuwanie a niszczenie danych osobowych

Usunięcie danych osobowych polega na skasowaniu ich z nośnika w taki sposób, aby ich późniejsza rekonstrukcja była niemożliwa, przy czym nośnik zostaje zachowany.

Zniszczenie danych osobowych oznacza z kolei fizyczną destrukcję nośnika wraz zapisanymi danymi w taki sposób, być nie można było ich odtworzyć.

W zależności od potrzeb powinieneś zastosować jeden z tych dwóch sposobów, co ilustruje prosty przykład: jeżeli przechowujesz dane na dysku komputera, nie musisz niszczyć go za każdym razem, gdy upływa okres przetwarzania danych – wystarczy wtedy ich usunięcie. Jeżeli natomiast chcesz wymienić komputer na nowy, musisz zadbać o prawidłowe zniszczenie starego dysku.

Bezprawne zniszczenie lub usunięcie (choćby przypadkowe) danych osobowych jest naruszeniem ich ochrony, dlatego Twoim obowiązkiem jest zapewnienie ich bezpiecznego przechowywania oraz ustanowienie odpowiednich procedur ich usuwania. W przeciwnym wypadku narażasz się na ewentualne kary, jakie wiążą się z naruszeniami.

Prawidłowe usuwanie i niszczenie danych osobowych

Jeżeli dane osobowe przechowujesz na nośniku papierowym, ich usunięcie lub zniszczenie nie będzie zazwyczaj problemem. Pierwszej z tych czynności możesz dokonać poprzez odpowiednie zaczernienie dokumentu, drugiej zaś – za pomocą niszczarki lub zlecając to profesjonalnemu przedsiębiorcy zajmującego się niszczeniem dokumentów (takim podmiotem nie są służby oczyszczania miasta, dlatego niedopuszczalne jest wyrzucanie dokumentów z danymi na śmietnik!).

W przypadku przechowywania danych na nośnikach elektronicznych sprawa jest nieco bardziej skomplikowana. Usunięcie lub zniszczenie danych musi być nieodwracalne, więc należy zastosować w tym celu środki “poważniejsze” niż proste skasowanie pliku z dysku (dla fachowca z odpowiednim sprzętem jego odtworzenie nie będzie stanowiło problemu).

Aby usunąć dane, musisz skasować je z poziomu systemu operacyjnego, natomiast ich zniszczenie wymaga użycia specjalistycznego oprogramowania, niszczarki danych cyfrowych lub fizycznego zniszczenia dysku/całego komputera (nie zalecamy robić tego samodzielnie, lecz skorzystać z pomocy profesjonalisty).

Każda czynność usunięcia/zniszczenia danych powinna być stwierdzona protokołem. Jeżeli powierzasz te czynności zewnętrznemu przedsiębiorcy, sprawdź czy jego oferta przewiduje protokolarne przekazanie nośników oraz wydanie pisemnego potwierdzenia ich zniszczenia.

Jeżeli podlegające usunięciu/zniszczeniu dane osobowe posiada oprócz Ciebie także inna osoba (np. pracownik, zleceniobiorca), powinieneś wydać mu polecenie dokonania tych czynności (np. drogą mailową).

Kiedy należy usuwać dane osobowe?

Każdej osobie, której dane osobowe są przetwarzane, przysługuje “prawo do bycia zapomnianym”. Na jego podstawie może się ona domagać od administratora niezwłocznego usunięcia jej danych. W razie zgłoszenia takiego żądania, musisz je spełnić, gdy:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku.

Do powyższego obowiązku RODO przewiduje kilka wyjątków, z których należy wymienić przede wszystkim prawny obowiązek dalszego przetwarzania danych (np. na mocy ustawy o rachunkowości, ordynacji podatkowej) oraz sytuacje związane z ustaleniem, dochodzeniem lub obroną roszczeń (np. w razie sporu sądowego z klientem).

W praktyce, z koniecznością usunięcia lub zniszczenia danych osobowych będziesz stykał się najczęściej w następujących przypadkach:

  • upływ wyznaczonego okresu przetwarzania danych osobowych;
  • utrata przydatności danych osobowych przed upływem wyznaczonego okresu ich przetwarzania;
  • realizacja “prawa do bycia zapomnianym;
  • wycofanie z eksploatacji lub przekazanie osobie trzeciej nośnika lub sprzętu wykorzystywanego do przetwarzania danych;
  • przekazanie nośnika lub sprzętu do serwisu napraw.

O okresie przetwarzania danych osobowych lub kryteriach jego ustalenia, musisz poinformować najpóźniej w momencie pobierania danych (obowiązek informacyjny), powinien być on także określony w rejestrze czynności przetwarzania.

Co pewien czas należy dokonywać stosownego przeglądu i usuwać/niszczyć dane, których okres przetwarzania upłynął.

Pamiętaj, że gdy te same dane osobowe mogą być przetwarzane przez różne okresy (np. równocześnie przez 3 lata i przez 5 lat), należy usunąć je lub zniszczyć dopiero po upływie najdłuższego z nich.

Porozmawiaj z ekspertem

Stoisz przed wyzwaniem? Szukasz najlepszego rozwiązania dla swojego problemu, który opisałem w tym artykule? Sprawdź, czy jestem w stanie Ci pomóc.

Skorzystaj z formularza lub napisz bezpośrednio na mojego maila a.szczudlo@creativa.legal

Administratorem Twoich danych osobowych będzie kancelaria Creativa Legal sp.p. Przeczytaj więcej w naszej Polityce prywatności.

Szczególną uwagę powinieneś zwrócić na dane, które mogą utracić swoją przydatność przed upływem wyznaczonego okresu (np. dane analityczne zbierane na stronie internetowej) – trzeba je usunąć lub zniszczyć niezwłocznie po stwierdzeniu braku przydatności (gdy nie będzie już podstawy prawnej lub uprawniony zażąda ich usunięcia).

Na wypadek skorzystania z “prawa do bycia zapomnianym”, powinieneś ustanowić odpowiednie procedury rozpatrywania takiego żądania. Jest to niezbędne, gdyż zadośćuczynienie mu “z automatu” może spowodować niedopełnienie zasad, czy prawnego obowiązku dot. przetwarzania danych np. rozliczalność, czy powiadomienie dalszych przetwarzających o zaistniałej sytuacji. Jeżeli żaden z określonych w RODO wyjątków nie znajduje zastosowania, dane należy niezwłocznie usunąć.

Odpowiednie reguły postępowania powinieneś ustanowić także na wypadek wycofania, przekazania lub naprawy nośnika. W każdym z tych przypadków musisz zadbać o nieodwracalne usunięcie lub zniszczenie danych, co zawsze powinno być poddane stosownej kontroli oraz protokołowane. W razie konieczności naprawy nośnika, przed zniszczeniem lub usunięciem z niego danych, należy zapisać je w innym, bezpiecznym miejscu.

Podsumowanie

Przetwarzając dane osobowe, prędzej czy później staniesz przed koniecznością ich usunięcia lub zniszczenia. Warto zatem zawczasu przygotować odpowiednie procedury tych czynności, a w razie potrzeby nawiązać współpracę z profesjonalnymi podmiotami zajmującymi się utylizacją nośników.

Ważne, byś zrobił to bez presji czasu, z uwzględnieniem wszystkich dających się przewidzieć okoliczności, choćby ich wystąpienie było mało prawdopodobne. Dodatkowe koszty są w tym wypadku nieuniknione, lecz bezpieczeństwo i profesjonalizm działalności są warte tego, by je ponieść.

W czym mogę Ci pomóc?

Arkadiusz Szczudło

Jestem adwokatem, wspólnikiem w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym.

Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Pomagam przedsiębiorcom m.in. w sporządzaniu umów i regulaminów ochronie danych osobowych i własności intelektualnej oraz prawie reklamy i mediów. Wspieram w zwalczaniu nieuczciwej konkurencji – w tym na rynku chińskim.

Chcesz porozmawiać o swoich bolączkach?
Napisz do mnie na a.szczudlo@creativa.legal lub skorzystaj z przycisku poniżej i wypełnij formularz. Sprawdź, czy możemy pomóc w rozwoju Twojego biznesu.

Subskrybuj newsletter
i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Nowe zmiany prawa dla e-commerce
od stycznia 2023!

Jeżeli prowadzisz lub zarządzasz sklepem internetowym, musisz być z nami. Weź udział w bezpłatnym szkoleniu, już 13 grudnia o 19:00!

Dowiedz się, jakie zmiany czekają na Ciebie – oraz jak się prosto, szybko i tanio do nich dostosować! Otrzymasz od nas gotowe rozwiązania!