Usunięcie danych osobowych – jak je bezpiecznie przeprowadzić

Z przetwarzaniem danych osobowych mamy do czynienia w przypadku jakiejkolwiek operacji dokonywanej na danych osobowych. Taką operacją jest zgodnie z ustawą o ochronie danych osobowych na przykład:  zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz – uwaga – usuwanie tych danych. Nie ma przy tym znaczenia, czy usuwanie odbywa się „tradycyjnie” (np. przez zniszczenie dokumentu papierowego zawierającego listę klientów), czy elektronicznie (np. przez usunięcie pliku z listą klientów). Pod pojęciem usuwania danych osobowych kryje się:

• zniszczenie danych osobowych lub
• modyfikacja danych osobowych, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

W przypadku zniszczenia danych osobowych mamy do czynienia z unicestwieniem danych osobowych. Chodzi np. o fizyczne unicestwienie nośników danych osobowych, które uniemożliwia odtworzenie informacji na nich zawartych. Zniszczenie danych osobowych jest zawsze dokonywane w celu pozbawienia kogokolwiek jakiejkolwiek możliwości dalszego dokonywania wszelkich operacji na tych danych. Ma to więc zapobiec możliwości dalszego przetwarzania danych osobowych.

Istotne w praktyce usuwania danych osobowych jest odróżnianie dwóch pojęć: danych osobowych i nośników danych. Ustawodawcy zależy na tym, aby administrator danych usunął te dane, a nie sam nośnik. Nośnikami danych, zgodnie ze słownikowym rozumieniem tego pojęcia, są „fizyczne ośrodki przeznaczone do przechowywania danych”. Mogą to być np. dyski twarde, akta, papierowe kartoteki czy pisemne protokoły. Ważne jest, aby zostały usunięte dane, a nie nośnik. Usunięciem danych osobowych nie będzie więc takie zniszczenie dysku twardego, które wprawdzie uniemożliwia korzystanie z tego dysku, ale nie niweczy możliwości odzyskania danych na nim zapisanych.

Drugi ze sposobów usunięcia danych osobowych (czyli ich modyfikacja) to podjęcie takiej czynności w stosunku do danych osobowych, która spowoduje ich anonimizację. Tą anonimizacją jest pozbawienie informacji cech danych osobowych. Dokonując anonimizacji, trzeba pamiętać, że:

• dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
• danymi osobowymi nie są informacje, za pomocą których nie da się określić tożsamości osoby bez podjęcia nadmiernych kosztów, czasu lub działań.

Pracownicy administratora danych dokonujący anonimizacji (np. przed przekazaniem dokumentów do archiwum zewnętrznego) mogą to robić na przykład poprzez usunięcie tej części informacji, która ma charakter osobowy (tj. wskazuje na konkretną osobę fizyczną). Celem zawsze musi bowiem być uniemożliwienie połączenia pozostałych informacji z konkretną osobą fizyczną. I tu dochodzimy do różnicy pomiędzy zniszczeniem a modyfikacją danych osobowych – w tym ostatnim przypadku możliwe jest pozostawienie tej części informacji, która zarówno samodzielnie, jak i łącznie z innymi informacjami nie pozwala już na zidentyfikowanie konkretnej osoby fizycznej.

Przepisy niekiedy nakazują administratorowi danych nie usunięcie danych, ale „zaprzestanie ich przetwarzania”. Na przykład w razie wniesienia przez jakąś osobę żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie Generalnemu Inspektorowi Ochrony Danych Osobowych, który wydaje stosowną decyzję. Nierzadko strony umów (np. umowy zawartej przez biuro rachunkowe z kancelarią prawną o powierzenie przetwarzania danych osobowych) same obligują się wzajemnie do usunięcia i zaprzestania przetwarzania danych w przypadku zaprzestania dalszej współpracy.

Z jeszcze inną sytuacją mamy do czynienia na gruncie art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych, który przyznaje każdej osobie prawo do żądania czasowego lub stałego „wstrzymania” przetwarzania danych osobowych jej dotyczących, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

O co chodzi?

Moim zdaniem zarówno „wstrzymanie przetwarzania danych osobowych”, jak i „zaprzestanie” ich przetwarzania to synonimy. Znaczą one jednak coś zupełnie innego niż „usuwanie” danych osobowych. W przypadku zaprzestania (oraz wstrzymania) przetwarzania danych osobowych administrator danych nie musi ich usuwać ze zbioru danych, ale jest zobowiązany powstrzymać się przed dokonywaniem jakichkolwiek operacji na tych danych. Takie rozumienie trzech analizowanych terminów wydaje się uzasadnione także podczas interpretowania umów cywilnoprawnych, w których pojęcia te zostały użyte.

Regulacja kwestii usuwania danych osobowych na poziomie ustawowym jest raczej skromna. Oznacza to, że na administratorze danych spoczywa obowiązek zapewnienia prawidłowości przebiegu usuwania danych osobowych, przez co należy rozumieć:

• podejmowanie decyzji o usunięciu danych osobowych,
• wybranie sposobu usunięcia danych osobowych (zniszczenie lub modyfikacja),
• wybranie metody zniszczenia lub modyfikacji danych osobowych, w tym postępowania z ich nośnikiem,
• fizyczne wykonanie zniszczenia lub modyfikacji i udokumentowanie tego zdarzenia.

Usunięcie danych osobowych, czyli zarówno zniszczenie, jak i ich modyfikacja nie wymaga zgody osoby, której dane dotyczą. Mówiąc wprost: administrator danych może je usunąć w dowolnym momencie i z jakiejkolwiek przyczyny. Do usunięcia danych osobowych nie jest w szczególności konieczne zaistnienie którejkolwiek z przesłanek legalizujących przetwarzanie danych osobowych.

Oznacza to, że administrator danych nie musi się zastanawiać, czy np. usunięcie danych jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W przeciwnym wypadku mogłoby się okazać, że np. administrator danych nie może sprzedać zużytego komputera, gdyż na uprzednie usunięcie z niego danych osobowych nie zgodził się jakiś jego klient.

Przed podjęciem decyzji o usunięciu danych zawsze należy przeanalizować, czy usunięcie danych jest możliwe w świetle postanowień zawartych umów. Może być bowiem tak, że np. zawarcie umowy z klientem zobowiązuje nas do przetwarzania jego danych osobowych w związku z obsługą finansowo-księgową. Jeżeli więc współpraca z klientem ustaje, to możemy jego dane osobowe usunąć z naszej bazy danych, ale tylko w świetle przepisów dotyczących ochrony danych osobowych. Jeżeli te dane usuniemy, to nie będziemy przecież w stanie prawidłowo zrealizować reklamacji, a tym samym wykonać umowy, co może nas w konsekwencji kosztować konieczność wypłaty odszkodowania. Dlatego prawidłowa kolejność powinna być następująca: rozwiązanie umowy z klientem i usunięcie jego danych – a nie na odwrót.

To, czy w danym przypadku powinno nastąpić zniszczenie, czy też modyfikacja danych osobowych, warto uregulować w wewnętrznych przepisach administratora danych. Chodzi o to, aby przynajmniej w najczęstszych lub najistotniejszych przypadkach osoba upoważniona do przetwarzania danych w imieniu administratora danych nie miała wątpliwości odnośnie do sposobu ich zniszczenia.

Użyte w powyższym przykładzie słowo „niszczenie” nie odpowiada wprawdzie dokładnie charakterystyce danych osobowych przetwarzanych w formie elektronicznej, przez co może zachęcić użytkownika do zniszczenia nośnika danych, ale jest prawidłowe z prawnego punktu widzenia. Z tego powodu wydaje się zasadnym zdefiniowanie w regulacji wewnętrznej zarówno tego, na czym polega zniszczenie i zmodyfikowanie danych przechowywanych zarówno w formie papierowej, jak i elektronicznej. Wydaje się, że zasadniczo bezpieczniejszym dla administratora danych (a co za tym idzie – domyślnym) rozwiązaniem powinno być niszczenie danych.

Brytyjski odpowiednik polskiego Generalnego Inspektora Ochrony Danych Osobowych zauważył, że całkowite usunięcie danych osobowych z systemów informatycznych nie zawsze jest możliwe. Chodzi tu chociażby o takie sytuacje jak uprzednie kopiowanie danych osobowych w ramach kopii zapasowych systemu czy przechowywanie danych osobowych połączonych z innymi danymi w ten sposób, że nie jest możliwe precyzyjne wydzielenie danych osobowych i ich zniszczenie, a zniszczenie całego zbioru danych nie wchodzi w rachubę. Z tych powodów należy zalecić, aby administrator danych przynajmniej:

• zrobił wszystko, co może, aby usunąć dane osobowe z możliwie każdej lokalizacji, w jakiej zostały utrwalone, bez usuwania innych danych,
• powstrzymał się od jakiegokolwiek przetwarzania danych osobowych pozostawionych np. w formie kopii zapasowej, z której danych tych nie da się usunąć bez poważnego nakładu sił i środków.

Usunięcie danych może także polegać na zniszczeniu nośnika tych danych razem z samymi danymi. Tak będzie najczęściej w przypadku przechowywania danych osobowych w tradycyjnej formie pisemnej. Wymóg zniszczenia danych osobowych spełnia „przepuszczenie” dokumentu przez niszczarkę lub jego spalenie. Samo usuwanie danych osobowych lub ich modyfikowanie może być przeprowadzane okresowo, jeżeli nie jest wymagane natychmiastowe zniszczenie danych osobowych. Wówczas w celu zniszczenia większej partii danych można powołać komisję.

Niezależnie od tego, czy dane są niszczone komisyjnie, czy też „na bieżąco” przez osobę dopuszczoną przez administratora danych do ich przetwarzania, ze zniszczenia danych powinien pozostać jakiś ślad. Może to być np. log komputerowy wskazujący na dokładny czas usunięcia danych i osobę, który dane usunęła. W przypadku działań komisji warto pokusić się o formę protokołu, w którym zostaną wskazane:

• rodzaj i nazwa zbioru usuwanych danych,
• podstawa prawna usunięcia danych osobowych ze zbioru danych (można tu wskazać także np. wewnętrzną regulację),
• opis usuniętych danych osobowych,
• skład komisji usuwającej dane osobowe,
• opis sposobu usunięcia danych osobowych,
• datę i miejsce usunięcia danych osobowych,
• podpisy członków komisji.