W przypadku gdy cele przetwarzania danych osobowych nie wymagają już zidentyfikowania przez niego osoby, której dane dotyczą, nie ma on obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą.

Po zanonimizowaniu danych administrator nie musi więc podejmować dodatkowych działań by identyfikować osoby jedynie w celu umożliwienia im stosowania praw wynikających z  GDPR.

Wyłączenie stosowania praw osób, których dotyczą dane

Efektem tego jest brak stosowania praw osoby, której dane dotyczą, wynikających z art. 15-20 rozporządzenia. Aby zwolnić się z obowiązku zadośćuczynienia tym prawom, administrator musi być w stanie wykazać, że:

1) cele, w których przetwarza dane osobowe, nie wymagały lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą;

reklama

2) nie jest w stanie zidentyfikować osoby, której dane dotyczą bez dodatkowych działań dla identyfikacji tej osoby.

Identyfikacja osoby, której dane dotyczą

W przypadku, gdy administrator nie jest w stanie zweryfikować tożsamości osoby, która żąda realizacji jej praw, powinien ją o tym poinformować.

Jeżeli administrator twierdzi, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, może ona dostarczyć mu dodatkowych informacji, potwierdzających jej tożsamość. Przez potwierdzenie swej tożsamości osoba, której dane dotyczą, zyskuje możliwość wykonania praw, przysługujących jej na mocy art. 15-20. Administrator nie może odmówić przyjęcia takich dodatkowych informacji.

Weryfikacja tożsamości powinna obejmować cyfrową identyfikację osoby, której dane dotyczą, na przykład poprzez mechanizm uwierzytelniania. Mechanizm ten oparty jest o dane uwierzytelniające, których osoba, której dane dotyczą, używa by zalogować się do usług internetowych oferowanych przez administratora.

Sytuacja gdy cele, w których administrator przetwarza dane osobowe, nie wymagały lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, nie zwalniają go automatycznie z obowiązku zadośćuczynienia prawom płynącym z art. 15-20 GDPR. Musi on jeszcze być w stanie wykazać, że nie jest w stanie bez dodatkowych działań, zidentyfikować osoby, której dane dotyczą. Ponadto, jeśli osoba, której dane dotyczą, przekaże mu informacje potrzebne do jej identyfikacji, zyska ona możliwość wykonywania swych praw.

Porównanie przepisów UODO/GDPR

Uodo

GDPR

reklama

Art. 1 ust. 3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.

Artykuł 11. Przetwarzanie niewymagające identyfikacji

1. Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia.

2. Jeżeli w przypadkach, o których mowa w ust. 1 niniejszego artykułu, administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.

 

Przeczytaj również: