RODO nie określa w jaki sposób i kiedy usuwać dane osobowe. Odpowiedzialność ta ciąży na przedsiębiorcy, zarówno tym zatrudniającym ponad 250 pracowników jak i tym prowadzącym jednoosobową działalność gospodarczą.

Jak wynika z artykułu 5 ust. 1e GDPR (RODO), dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których są one przetwarzane. Innymi słowy, oznacza to, że dane te nie mogą być przetwarzane w nieskończoność. Po realizacji określonego celu, przedsiębiorca powinien usunąć te dane, które obiektywnie nie są już potrzebne. Przykładowo, po zakończeniu rekrutacji na stanowisko w firmie, wskazane jest usunięcie z bazy CV kandydatów. Informacje personalne nie mogą bowiem być gromadzone „na zapas” i na wszelki wypadek, na co niejednokrotnie wskazywało stanowisko GIODO.

Przedsiębiorca musi udowodnić w jakim celu zbiera informacje umożliwiające identyfikację danych podmiotów. Jest także zobowiązany, aby wykazać, że przetwarzane przez niego dane są konieczne do tego, aby mógł właściwie realizować swoje zadania. Wynika to z zasady adekwatności (ustawa o ochronie danych osobowych z 1997 roku i art. 5 ust. 1c GDPR). W świetle wspomnianego powyżej artykułu, „dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. Z tego też względu, należy podjąć decyzję czy przechowywane przez nas dane są nam nadal potrzebne do prawidłowego prowadzenia działalności czy powinny zostać usunięte.

W przypadku przechowywania i przetwarzania danych w formie papierowej nie ma większych kontrowersji. Łatwo jest zweryfikować czy informacje zostały usunięte, m.in. za pomocą niszczarki. Jednak sprawa komplikuje się, jeśli przechowujemy dane w systemach teleinformatycznych ( problem ten dotyczy zdecydowanej większości przedsiębiorców) – ciężej jest sprawdzić czy informacje zostały definitywnie wymazane. Mogą bowiem istnieć w takiej czy innej formie. Jak zatem usuwać dane z systemu, aby było to zgodne z wytycznymi RODO?Od czego należy zacząć?

Jak należy się przygotować do usunięcia danych

Procedurę usuwania danych należy zacząć od ich inwentaryzacji, czyli określenia jakie informacje przetwarzamy, gdzie je przechowujemy, w jakiej formie (papierowej czy elektronicznej) i czy minął termin ich ważności. W tym celu możemy stworzyć tak zwaną tabelę retencji, która pozwoli określić nam termin ważności przechowywanych informacji. W jaki sposób ocenić czy upłynął czas, w którym mogliśmy korzystać z danych?

Warto wiedzieć, że tylko w wybranych przypadkach mamy do czynienia z przepisami szczegółowymi określającymi wyraźnie sposób przechowywania danych oraz okres, w którym możemy je przetwarzać. Przykładowo, w świetle kodeksu pracy, pracodawca zobowiązany jest do przechowywania dokumentacji osobowej pracownika przez cały okres zatrudnienia oraz przez 50 lat licząc od dnia zakończenia pracy. Natomiast, jak wynika z ustawy o rachunkowości, karty wynagrodzeń pracowników powinny być przechowywane przez okres nie krótszy niż 5 lat.

Oba wspomniane przypadki, jak i podobne regulowane przez przepisy szczegółowe, są wprost uwzględnione w RODO (art. 5 ust. 1e): Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą.

Jednak w większości sytuacji, brak jest przepisów szczegółowych, które określałyby termin, w którym powinniśmy usunąć przechowywane przez nas informacje. W takim wypadku, powinniśmy odpowiedzieć sobie na proste, ale kluczowe pytanie: czy nadal potrzebujemy tych danych? Przykładowo, klient dokonał reklamacji wadliwego sprzętu komputerowego, a jego wniosek został uwzględniony. Po zakończeniu procedury reklamacji, sklep niezwłocznie powinien jego dane usunąć. W teorii rozwiązanie to nie powinno wywoływać większych problemów.

Natomiast, w praktyce nie mamy przecież do czynienia z jednym klientem, lecz dziesiątkami różnych konsumentów. W jaki sposób zatem kontrolować czy niepotrzebne dane zostały usunięte, tak aby uniknąć niedopatrzeń? Procedura usuwania danych powinna być ujednolicona, bez względu na wielkość firmy. Przede wszystkim zalecane jest stworzenie tak zwanej tabeli retencji, w której określimy rodzaj przechowywanych danych, ich lokalizację (dokumenty papierowe, umieszczone na nośnikach cyfrowych takich jak USB, dokumenty elektroniczne) oraz termin ważności (regulowany przez wspomniane przepisy szczegółowe lub określany indywidualnie). Warto wyznaczyć także osoby odpowiedzialne za regularne usuwanie i przegląd danych.

Usuwanie danych z systemu informatycznego

Ogólnie rzecz biorąc, usuwanie danych może mieć charakter zautomatyzowany albo być dokonywane manualnie. Jeśli wdrożymy tabelę retencji, sama procedura usunięcia danych z systemu informatycznego nie powinna powodować większych komplikacji. Problem pojawia się jednak wtedy gdy podmiot żąda, aby wymazać jego dane także z kopii zapasowych. Po pierwsze, zanim podejmiemy się jakiegokolwiek działania, powinniśmy rozróżnić dwa rodzaje wspomnianych kopii: backup (nie mylić z backupem technicznym) i archiwum. Z tego względu tak ważna jest wspomniana inwentaryzacja informacji i podział na określone kategorie.

Administrator danych bez większego problemu może nadpisać, czyli usunąć dane z backupu (zazwyczaj backup przechowywany jest przez 72 godziny). Archiwum zaś stanowi integralną część systemu i nie powinno się z niego usuwać pojedynczych danych, ponieważ zaburzyłoby to działanie całego systemu. Oczywiście, istnieje możliwość usuwania pojedynczych rekordów, ale wymaga to odtworzenia, wykasowania i ponownej archiwizacji danych. Proces ten w większości firm nie jest zautomatyzowany (stosują go technologiczni potentaci pokroju Facebooka i Google’a), co powoduje, że nie raz pojawiają się błędy w systemie. Przedsiębiorca powinien więc poinformować zainteresowanych o tym kiedy dane z kopii zostaną bezpowrotnie usunięte (zazwyczaj takie informacje znajdują się w instrukcji zarządzania systemem informatycznym).

Jak zatem rozróżnić archiwum od backupu? Także w tym przypadku warto ponownie zwrócić uwagę na przepisy szczegółowe i wynikające z nich obowiązki przechowywania informacji. Najprościej rzecz ujmując, na archiwum składają się wszystkie informacje, które przechowujemy dłużej niż 3 miesiące.

Biorąc powyższe pod uwagę, powinniśmy przede wszystkim dokonywać regularnego przeglądu danych. Dzięki temu możemy zidentyfikować także te informacje, które nie zostały skatalogowane, a mieszczą się na komputerach pracowników, w korespondencji bądź na nośnikach typu pendrive. Są to tak zwane dane nieustrukturyzowane. Ponadto, warto jest ustalić także określone terminy usuwania informacji z bazy. Przykładowo, jeśli prowadzimy wysyłkę newslettera to powinniśmy raz do roku dokonać przeglądu naszej listy mailingowej, wysłać prośbę o wyrażenie zgody na przetwarzanie danych i usunąć rekordy tych osób, które nie wyraziły zgody.

Podsumowując, usuwanie danych powinniśmy zacząć od wszechstronnej inwentaryzacji, określić terminy przeglądu informacji, a także okres przetwarzania danych. Warto także pamiętać, że jesteśmy zobowiązani do usuwania danych zarówno dostępnych w wersji papierowej, w systemach informatycznych jak i na nośnikach danych.