Rozliczalność i prawo do bycia zapomnianym
Główne zasady postępowania przy przetwarzaniu danych osobowych sprecyzowano w art. 5 RODO. Wskazano tam reguły przetwarzania danych osobowych oraz ujęto je w formę podstawowych obowiązków administratora danych. Jedną z nich jest zasada rozliczalności – administrator jest odpowiedzialny za przestrzeganie obowiązków opisanych w art. 5 RODO oraz musi być w stanie wykazać ich przestrzeganie (czyli to na nim spoczywa ciężar dowodu, iż przestrzega przepisów Rozporządzenia).
Z drugiej strony art. 5 nakłada na administratora obowiązek stosowania zasady ograniczonego przechowywania danych osobowych – dane osobowe nie powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres dłuższy, niż jest to konieczne do realizacji celów, w których są one przetwarzane. Oznacza to, że nie można przechowywać danych dłużej niż jest to niezbędne do realizacji wcześniej określonego celu. Po tym jak cel zostanie osiągnięty, dane należy niezwłocznie usunąć lub zanonimizować, czyli przekształcić w taki sposób, że niemożliwe będzie ich przyporządkowanie do konkretnej osoby fizycznej.
W RODO sprecyzowano również szereg uprawnień osób, których dane dotyczą (podmiotów danych). Jednym z nich jest tzw. prawo do bycia zapomnianym, wynikające z art. 17 RODO – osoba, której dane dotyczą może żądać od administratora usunięcia niektórych danych na swój temat, bądź całego ich zbioru (w określonych okolicznościach), przy czym proces usuwania powinien być przeprowadzony bez zbędnej zwłoki.
W tym momencie pojawia się dylemat, czy administrator danych realizując żądanie podmiotu danych do bycia zapomnianym, powinien też być w stanie wykazać – w myśl zasady rozliczalności – że to żądanie wykonał i być w stanie udowodnić to przed organem nadzorczym, a więc, czy np. może pozostawić część danych osobowych w tym celu.
Decyzja austriackiego organu
W dniu 28 maja 2018 r. Austriacki Organ ds. Ochrony Danych (zwany dalej DSB), wydał decyzję (sygn.. DSB-D216.580/0002DSB/2018), dotyczącą kwestii niezbędności przechowywania danych osobowych. Osoba składająca skargę żądała od pozwanego usunięcia wszystkich dotyczącej jej danych osobowych, po tym gdy spełnił on pierwszy wniosek o usunięcie (a administrator mimo zadeklarowanego usunięcia pozostawił część danych osobowych wnioskodawcy w swoich bazach).
W związku z ponownym wnioskiem kolejny raz zapisał on imię i nazwisko, datę urodzenia oraz aktualny adres osoby, składającej wniosek. Pozwany w swoim uzasadnieniu przechowywania danych powołał się na przechowywanie z powodów “znanych z akt” (wynikających z procedowania żądania), zgodnie z art. 17 ust. 3 lit. e) Ogólnego Rozporządzenia o Ochronie Danych (przepis ten stanowi, że dane nie muszą zostać usunięte w przypadku złożenia wniosku o usunięcie jeżeli ich przetwarzanie jest konieczne do ustalenia, dochodzenia lub obrony roszczeń), jak również na konieczność ich przechowania do celów dokumentacyjnych oraz komunikacji.
DSB (organ austriacki) dopuścił skargę i przychylił się do niej, uznając, że powołanie się na „powody znane z akt”, nie stanowiły wystarczającego dowodu na niezbędność przetwarzania, zgodnie z art. 17 ust. 3 RODO. W szczególności, mając na uwadze wniosek o usunięcie wszystkich danych, ich przechowywanie w związku z ewentualnym, przyszłym kontaktem, nie jest niezbędne w rozumieniu art. 17 ust. 1 litera a) RODO, a dodatkowo pozostaje w sprzeczności z zasadą ograniczenia przetwarzania, zgodnie z art. 5 ust. 1 litera a) RODO.
Reasumując, jak stwierdził DSB: nie można przechowywać danych w celu ewentualnego, przyszłego kontaktu.
Źródło:
