Podmioty przetwarzające dane osobowe na zlecenie są najczęściej zobowiązane do ich usunięcia po wykonaniu swoich zadań. W toku postępowań organ nadzorczy pyta jednak niektórych przedsiębiorców o dokładny moment pozbycia się konkretnych informacji. Z takiej sytuacji nie jest łatwo wybrnąć

Przedsiębiorcy (administratorzy danych osobowych) często zlecają zadania firmom zewnętrznym, np. wykonanie usług telemarketingowych lub kolportażu materiałów reklamowych, jednocześnie powierzając im dane osobowe potrzebne do realizacji kontraktu. Przy czym przekazanie takich danych procesorom (RODO takim mianem określa firmy, którym powierzono tego typu informacje) powinno się odbyć na podstawie umowy o powierzenia. W tymże kontrakcie najczęściej pojawia się zapis, iż procesor powinien zwrócić lub usunąć przekazane informacje tuż po wykonaniu zadania. Gdy ta kwestia nie jest uregulowana w umowie, procesor powinien zapytać administratora, co ma zrobić z danymi. I choć zasada ta wydaje się prosta, to w praktyce pojawiają się problemy. I tak ostatnio dotarły do nas informacje, że Urząd Ochrony Danych Osobowych, rozpatrując skargę osoby fizycznej, zwrócił się do procesora o podanie informacji o dacie usunięcia danych konkretnej jednostki. Niestety pojawił się kłopot, otóż procesor usunął dane zgodnie z zapisami zawartymi w umowie powierzenia. Nie miał zatem już informacji o usunięciu konkretnych rekordów, bo zgodnie z dyspozycją administratora się ich pozbył.
Tymczasem przedsiębiorcy zastanawiają się, czy UODO ma podstawy do żądania tego typu informacji? A jeśli tak, to co powinien zrobić procesor, aby nie narazić się na karę za brak współpracy z organem nadzorczym? Wszak taka możliwość nie jest tylko teoretyczna – karę w wysokości 100 tys. zł nałożono na głównego geodetę krajowego za utrudnianie organowi nadzorczemu prowadzenie postępowania, a karę w wysokości 5 tys. zł za brak podjęcia korespondencji z urzędu i nieudzielenie odpowiedzi na wezwania organ nałożył na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole.

Wypaczenie RODO

Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński, uważa, że prezes UODO może prosić o informacje na temat daty usunięcia konkretnych danych, o ile jest to istotne z punktu widzenia prowadzonego postępowania. Może się bowiem zdarzyć naruszenie w konkretnej dacie i urząd musi zbadać, kto dokładnie dokonał tego naruszenia – administrator, procesor czy może ktoś inny? Informacja o tym, kiedy np. procesor usunął dane, może go wykluczyć jako potencjalnego sprawcę naruszenia. – Kłopot w tym, że takie pytania stawiane procesorowi mogą prowadzić do niebezpiecznych praktyk – wskazuje dr Litwiński. Wyjaśnia, że już teraz większe firmy będące procesorami formułują umowy w ten sposób, by przechowywać dane po zakończeniu przetwarzania „na potrzeby archiwizacji”. Spotyka się też takie rozwiązania, gdzie umowy gwarantują ponowne udostępnienie danych procesorowi w przypadku, gdy pojawi się u niego kontrola organu nadzorczego. Niektórzy decydują się też na wykorzystanie pseudonimizacji danych. Administrator, który zlecił usunięcie konkretnego rekordu, w razie potrzeby udostępnia informacje o tym rekordzie procesorowi. – To wszystko jednak są niebezpieczne koncepcje sprawiające, że ofiarą rozliczalności stają się nasze dane osobowe, co jest przecież niezgodne z RODO. Już nawet protokół usunięcia konkretnych danych, zawierający informacje o jednostce, stanowiłby dalsze przetwarzanie tych danych. Nie po to osoba żąda usunięcia danych, żeby te informacje nadal gdzieś się znajdowały i mogły wycieknąć – stwierdza dr Litwiński.
Podobnie uważa radca prawny Wojciech Cyga, compliance officer w IAG GBS Poland sp. z o.o. Przyznaje on, że procesorzy, chcąc zapewnić sobie możliwość bezproblemowego odpowiadania na zapytania UODO, mogą mieć pokusę pozostawiania sobie danych w jakiejś formie. – Takie działanie jest jednak mocno ryzykowne, ponieważ może narazić podmiot na znacznie poważniejszy zarzut, jakim będzie przetwarzanie danych bez ważnej podstawy prawnej – wskazuje Cyga.
UODO: 1,9 mln zł kary dla Virgin Mobile Polska za niewłaściwą ochronę danych
UODO: 1,9 mln zł kary dla Virgin Mobile Polska za niewłaściwą ochronę danych

Zobacz również

Ważna transparentność

Co zatem powinien zrobić procesor, który usunął dane zgodnie z umową powierzenia, a teraz urząd docieka, kiedy zostały usunięte konkretne informacje? Eksperci przyznają, że procesor, lakonicznie odpowiadając urzędowi – tj. informując go o braku danych – może narazić się zarzut utrudniania czy mataczenia w postępowaniu prowadzonym przez UODO. Niepełna lub mało wiarygodna odpowiedź procesora może bowiem budzić wątpliwości organu nadzorczego, czy sytuacja rzeczywiście jest taka, jak przedstawiona w odpowiedzi, czy też może wynika z błędów lub zaniechań na etapie przetwarzania danych. Wojciech Cyga przestrzega, że odmowa przekazania informacji na temat tego, czy i w jaki sposób odbyło się usunięcie danych już po zakończeniu współpracy z administratorem, może rzeczywiście narazić podmiot przetwarzający na zarzut braku współpracy z organem. W skrajnych przypadkach może również zostać postawiony mu zarzut bezpośredniego naruszenia RODO, np. jeżeli procesor danych nie będzie dysponował odpowiednią dokumentacją potwierdzającą, że dane zostały administratorowi zwrócone bądź usunięte, czego wymaga art. 28 ust. 3 lit. g RODO.
Dlatego dr Litwiński uważa, że procesor powinien się starać być możliwie pomocny i transparentny. Jeżeli więc UODO prowadzi postępowanie np. w sprawie określonej kampanii reklamowej i procesor jest w stanie odpowiedzieć, w jakim okresie takową kampanię prowadził oraz kiedy mógł w związku z tym usunąć dane, to nie warto tego ukrywać.
– Jeżeli procesor był zobligowany usunąć dane zgodnie z poprawnie sporządzoną umową powierzenia z administratorem i nie występowały inne okoliczności ustalone z administratorem w toku jej wykonywania, które obligowały procesora do dalszego przetwarzania takich danych, organ nadzorczy nie powinien mieć pretensji o to usunięcie – uważa z kolei Grzegorz Makara, ekspert ochrony danych osobowych oraz członek Stowarzyszenia Praktyków Ochrony Danych. Wskazuje on również, że warto wskazać organowi, jakie są procedury usuwania danych, przedstawiając stosowną dokumentację procesu, w tym także dowody podjęcia konkretnych działań przez procesora, np. przykładowe protokoły z usuwania danych.
!Zdaniem ekspertów procesor, który nie jest w stanie wskazać dokładnego momentu usunięcia danych, bo już ich nie posiada w swojej bazie, powinien przedstawić UODO procedurę, jaką ma w tym zakresie, oraz stosowną dokumentację.