W rozdziale II GDPR poświęconym Zasadom przetwarzania danych znalazła się także regulacja dotycząca przetwarzania niewymagającego identyfikacji.

Zgodnie z Artykułem 11, jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia, np. by osoby zainteresowane mogły zrealizować swoje uprawnienia wymienione w Rozdziale III.

Osoba, której dane dotyczą:

a) jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz szeregu informacji (Artykuł 15),

b) ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe (Artykuł 16),

reklama

c) ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych w wyszczególnionych okolicznościach (Artykuł 17),

d) ma prawo żądania od administratora ograniczenia przetwarzania danych w wyszczególnionych przypadkach (Artykuł 18),

e) ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz

f) ma prawo, w wymienionych przypadkach, przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane (Artykuł 20).

Aby nie musieć spełniać obowiązków wymienionych w Artykułach 15-20, administrator musi być w stanie wykazać, że:

1) cele, w których przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą,

2) nie jest w stanie zidentyfikować osoby, której dane dotyczą bez dodatkowych działań dla identyfikacji tej osoby.

reklama

Sam fakt, że cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, nie zwalniają go z obowiązku zadośćuczynienia jej prawom płynącym z art. 15-20 GDPR. Musi on jeszcze być w stanie wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą bez dodatkowych działań dla jej identyfikacji. Ponadto, jeśli osoba, której dane dotyczą przekaże mu informacje potrzebne do jej identyfikacji, zyska ona możliwość wykonania praw przysługujących jej na mocy tych przepisów.

Jeżeli administrator twierdzi, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, osoba zainteresowana może dostarczyć dodatkowych informacji pozwalających zidentyfikować ją jako osobę, której dane dotyczą. Zyska ona wtedy możliwość wykonania praw przysługujących na mocy art. 15-20. Jednocześnie administrator nie może odmówić przyjęcia takich dodatkowych informacji od osoby, której dane dotyczą, by ułatwić jej wykonywanie jej praw.

Weryfikacja tożsamości powinna obejmować cyfrową identyfikację osoby, której dane dotyczą, na przykład poprzez mechanizm uwierzytelniania, taki jak te same dane uwierzytelniające, których osoba, której dane dotyczą, używa by zalogować się do usług internetowych oferowanych przez administratora.

Porównanie przepisów UODO/GDPR

Uodo GDPR

Art. 1 ust. 3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.

Artykuł 11 Przetwarzanie niewymagające identyfikacji

1. Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia.

2. Jeżeli w przypadkach, o których mowa w ust. 1 niniejszego artykułu, administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.