W kwartalniku ABI-Expert został opublikowany mój artykuł na temat bardzo ciekawego zagadnienia, jakim jest budowanie czarnych list klientów na gruncie przepisów o ochronie danych osobowych.
Poniżej znajdują się fragmenty dostępne również na stronie wydawcy.
Przetwarzanie danych osobowych wiąże się nie tylko z koniecznością zapewnienia poufności, integralności i dostępności przetwarzanych danych. Jednym z jego elementów jest także usuwanie danych.
Administratorzy danych muszą zadbać nie tylko o prawidłowe przetwarzanie, ale i o usuwanie danych osobowych ze zbiorów danych oraz coraz częściej występujący problem, jakim jest unikanie ponownego wykorzystania danych osobowych w przypadku wcześniejszego ich usunięcia. Potencjalnym rozwiązaniem problemu może być wykorzystanie procesu pseudonimizacji danych w celu budowania tzw. czarnych list.
Usuwanie danych osobowych
Zgodnie z art. 7 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2016 r., poz. 922) – dalej: uodo – przez usuwanie danych rozumie się zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. To proces, który ma na celu uniemożliwienie dalszego przetwarzania danych osobowych, np. wymazanie danych z nośników danych lub anonimizację danych. Należy pamiętać o tym, że usunięcie danych powinno być procesem nieodwracalnym. Dane należy usunąć również z kopii zapasowych, o czym administratorzy danych często zapominają.
Administrator danych powinien przemyśleć strategię usuwania danych osobowych jeszcze w fazie projektowania, choćby z uwagi na to, jakie ryzyko ciągnie za sobą nieprawidłowe zaprojektowanie systemu. W niektórych przypadkach może dojść to tego, że usunięcie danych będzie faktycznie niemożliwe, czasochłonne, kosztowne lub doprowadzi do zniszczenia innych danych. W celu uniknięcia omawianych problemów należy przeprowadzać regularne testy procesów usuwania danych.
Definicję usuwania danych osobowych zawiera uodo. Natomiast w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo) występują jedynie odniesienia do tzw. informacji anonimowych, danych osobowych zanonimizowanych. Pomaga to zrekonstruować pojęcie usuwania danych.
Ramy prawne usuwania i ograniczania
Zgodnie z zasadą ograniczenia czasowego (art. 26 ust. 1 pkt 4 uodo, art. 5 ust. 1 pkt e rodo) administrator danych powinien przechowywać dane w postaci umożliwiającej identyfikację nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Oznacza to, że po osiągnięciu celu przetwarzania administrator danych powinien przeprowadzić operację usunięcia danych. Zasada ograniczenia czasowego w rodo została bardziej skonkretyzowana przez to, że wprowadzono obowiązek określania czasu, po którym dane powinny zostać usunięte, a gdy nie jest to możliwe, kryteria ustalenia tego okresu.
Uregulowania zawarte w art. 32 uodo dają osobom, których dane dotyczą, prawo do korzystania z uprawnień kontrolnych, które można podzielić na uprawnienia informacyjne (art. 32 ust. 1 pkt 1–5 uodo) oraz na uprawnienia korekcyjno-zakazowe (art. 32 ust. 1 pkt 6–9 uodo). Uprawnienia korekcyjno-zakazowe przewidują możliwość czasowego lub stałego wstrzymania przetwarzania, usunięcia danych (art. 32 ust. 1 pkt 6 uodo), żądania zaprzestania przetwarzania ze względu na szczególną sytuację osoby, której dane dotyczą (art. 32 ust. 1 pkt 7 uodo), oraz wniesienia sprzeciwu wobec przetwarzania danych w określonych przypadkach (art. 32 ust. 1 pkt 8 uodo).
W przepisach rodo uprawnieniom korekcyjno-zakazowym poświęcona jest Sekcja 3, gdzie w kolejnych przepisach zostało uregulowane prawo do sprostowania danych (art. 16 rodo), prawo do usunięcia danych (art. 17 rodo) oraz prawo do ograniczenia przetwarzania (art. 18 rodo).