Nowe podejście do ochrony danych osobowych, w tym wyraźne wzmocnienie pozycji podmiotów danych, obecne jest w bardzo wielu przepisach RODO w postaci szeregu nowych rozwiązań.
Jednym z bardziej istotnych wzmocnień jest obowiązek ograniczenia czasowego przetwarzania danych osobowych będącego jedną z generalnych zasad dotyczących przetwarzania, określoną w art. 5 ust.1 lit. e RODO1 w brzmieniu — przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą. Tak wyraźne narzucenie zobowiązania zmuszającego do odejścia od praktykowanego zwyczaju przechowywania danych praktycznie w nieskończoność, należy wyraźnie poprzeć, uznając je za w pełni zasadne, zwłaszcza w kontekście wzmożonej ochrony praw osób fizycznych.
RODO diametralnie inaczej kładzie akcenty w ramach retencji danych osobowych, uzależniając okres przechowywania wskazanych informacji od konieczności/niezbędności ich posiadania do realizacji celów, w których dane te są przetwarzane.
Wskazane przykłady jasno pokazują, że administrator danych osobowych będzie zobowiązany przede wszystkim do stałego monitorowania realizacji celów, w jakich gromadzi informacje. Zgodnie z zasadą retencji będzie musiał także podejmować odpowiednie czynności (usuwanie, anonimizacja, archiwizacja etc.) w momencie stwierdzenia ustania/zrealizowania celu gromadzenia, czy też jego zmiany. Wynika to z faktu, że zasada ograniczenia przechowywania dotyczy, tylko danych przechowywanych w formie umożliwiającej identyfikację osoby, której dane dotyczą. Jeżeli więc ustanie cel dokonywania czynności na odpowiednich informacjach, to ich właściwe zaszyfrowanie, pseudonimizacja, nadpisanie etc. uniemożliwiające identyfikację podmiotu danych, będzie stanowiło wypełnienie zasady ograniczenia przechowywania danych.
Należy jednak pamiętać, że przetwarzanie określonych danych osobowych może mieć kilka podstaw, a tym samym może zaistnieć konieczność ich przechowywania wynikająca z innych celów, niż pierwotny (najczęściej realizacja umowy).
Zgodnie z art. 125a ust. 4 Ustawy o emeryturach i rentach z funduszu ubezpieczeń społecznych — Płatnik składek jest zobowiązany przechowywać listy płac, karty wynagrodzeń albo inne dowody, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty, przez okres 50 lat od dnia zakończenia przez ubezpieczonego pracy u danego płatnika. Mamy tutaj do czynienia z inną podstawą prawną usprawiedliwiającą długoterminowe przetwarzanie danych. Niezależnie od ustania stosunku pracy, pracodawca musi przechowywać odpowiednie dane przez okres 50 lat. Podobnie sytuacja wygląda w przypadku ustawy o rachunkowości, która między innymi wymaga, aby — karty wynagrodzeń pracowników bądź ich odpowiedniki — przez okres wymaganego dostępu do tych informacji, wynikający z przepisów emerytalnych, rentowych oraz podatkowych, nie krócej jednak niż 5 lat.
I tak, jeżeli przedsiębiorca zawrze ze swoim kontrahentem umowę kupna pojazdu dostawczego, to sama realizacja umowy w postaci przekazania pojazdu i zapłacenia cena nie będzie jedyną podstawą przetwarzania danych. Takiemu przedsiębiorcy w zasadzie zawsze przysługuje jeszcze odpowiednie roszczenie gwarancyjne oraz te oparte na reklamacji wynikającej z rękojmi. W tej sytuacji podstawa przechowywania danych osobowych ustanie w momencie upływu okresów, w jakim strona mogła zgłosić wady pojazdu tak na drodze gwarancji, jak i rękojmi. Bardzo podobnie wygląda sytuacja, kiedy podmiot danych udzielił zgodny na przesyłanie informacji handlowej drogą elektroniczną. Jeżeli nawet wygasła już konkretna umowy między administratorem a tym klientem, to w przypadku braku odwołania wskazanej zgody administrator dalej ma prawo do przetwarzania danych osobowych i prowadzenie marketingu względem tego klienta.
Z jeszcze inną sytuacją spotykamy się kiedy, prawo nie przewiduje konkretnych okresów, w jakich można przetwarzać dane osobowe. Jest to o tyle problematyczne, że trudno wskazać na tyle obiektywną podstawę, która bezsprzecznie usprawiedliwiałaby określone czynności na danych osobowych. W takim stanie rzeczy muszą być wzięte pod uwagę pojedyncze i konkretne okoliczności w ramach każdego przypadku. Co więcej, w ramach okoliczności spornych, zastosowanie będę miały bardziej ogólne normy takie jak konstytucyjne prawo do prywatności, czy chociażby prawo do ochrony dóbr osobistych wynikających z przepisów prawa cywilnego. W momencie sporu między administratorem danych a osobą, której dane dotyczą to ewentualnie sąd, będzie władny do uznania po czyjej stronie leży racja. Najlepszym tego przykładem jest zagadnienie monitoringu wizyjnego, który jako źródło gromadzenia danych nie zawsze jest regulowany przez państwo, co w konsekwencji może prowadzić, do nieprawidłowego gromadzenia danych osobowych.
Wyjątek, który dopuszcza dłuższe przechowywanie, niż jest to niezbędne stanowi przetwarzanie, wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Przy czym RODO nakłada jednocześnie na podmioty przechowujące dane w powyższych celach dodatkowy obowiązek. Mianowicie wdrożenie odpowiednich środków technicznych i organizacyjnych wymaganych na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą, np. pseudonomizacje.
Piotr Gutowski dla IT Law Solutions
Polecamy także pozostałe wpisy z cyklu, w którym omawiamy zasady przetwarzania danych osobowych:
