„Proszę o niezwłoczne usuniecie wszystkich moich danych osobowych!” Tego typu wiadomości e-mail coraz częściej trafiają na skrzynki e-mail przedsiębiorstw. Z naszych doświadczeń wynika, że ta zmiana dotyczy szczególnie branży e-commerce, czy gamingowej. Jak traktować takie wiadomości? Czy naprawdę musimy usunąć wszystkie dane? Nie stracił na aktualności casus omawiany już w 2018 roku: Klub fitness prowadzi akcję promocyjną „pierwsza wizyta gratis”. Osoba przychodzi, korzysta z promocji, po czym wychodząc zostawia wniosek o usunięcie wszystkich jej danych osobowych. Po tygodniu przychodzi znowu skorzystać z „pierwszej godziny gratis” – bo przecież klub fitness nie może mieć odnotowanej informacji, że z tej promocji już ta osoba skorzystała, nieprawdaż?
W niniejszym tekście omówimy wybrane aspekty postępowania z tego typu wnioskami. Zacząć trzeba jednak od ważnej uwagi ogólnej. Procedowanie każdego wniosku podmiotu danych należy zacząć od potwierdzenia tożsamości autora. Bo jeżeli wniosek o usunięcie konta „jan.zmyslony@poczta.pl” przyszedł z adresu „jan.zmysl0ny@poczta.pl”, to nie mamy do czynienia z wnioskiem podmiotu danych, tylko usiłowaniem popełnienia przestępstwa przeciwko bezpieczeństwu informacji. W takiej sytuacji należy pamiętać, że art. 12 ust. 6 RODO pozwala administratorowi danych zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości wnioskodawcy.
Czy musimy kasować wszystko co mamy?
Na to częste ze strony naszych klientów pytanie mogę odpowiedzieć z klarownością zupełnie nietypową dla stereotypowych opinii prawnych: nie!
Artykuł 17 RODO wprost wskazuje kiedy administrator danych osobowych może odmówić realizacji wniosku o usunięcie danych osobowych. Dotyczy to m.in. sytuacji gdy dalsze przetwarzanie danych osobowych jest administratorowi niezbędne do wywiązania się z prawnego obowiązku, do wykonania zadania realizowanego w interesie publicznym, czy do ustalenia, dochodzenia lub obrony roszczeń.
Prosty przykład. Prowadzimy sklep internetowy i otrzymaliśmy wniosek o usunięcie wszystkich danych osobowych od klienta który kiedyś kupił od nas towary. Dane osobowe mamy w związku z tym:
- Na fakturze – którą mamy obowiązek przechowywać przez 5 lat po zakończeniu roku kalendarzowego, w którym ją wystawiliśmy. Ordynacja podatkowa nie przewiduje tu wyjątków dla przepisów o ochronie danych osobowych. Zatem nie tylko mamy prawo odmówić usunięcia tego dokumentu, ale mamy wręcz prawny obowiązek przechowywania go.
- W cyfrowym systemie zarządzania sklepem mamy całą historię zamówienia: kto, kiedy, jakie towary, za ile, gdzie dostawa. Jeżeli klient nas pozwie o to, że zapłacił ale towaru nie dostał, to bez tych danych nie mamy jak się bronić w sądzie, zatem mamy prawo je dalej przetwarzać.
- Na dokumentach związanych z dostawą zamówienia (dokumenty od kuriera/ poczty). Ponownie, w razie pozwu bez tych danych sklep nie ma jak się obronić, jeżeli np. wydał paczkę do kuriera, a kurier paczkę zgubił.
- W bazie adresatów newsletteru marketingowego. Tu nie ma wątpliwości, że dane musimy usunąć zgodnie z wnioskiem.
- W wynikach ankiety satysfakcji obsługi klienta. Ponownie, nie mamy podstawy prawnej do trzymania danych wbrew woli podmiotu danych. Ale jeżeli zebrane w ten sposób dane są nam potrzebne, zamiast usuwać wszystkie dane, możemy je zanonimizować – tj. usunąć wyłącznie informacje pozwalające na zidentyfikowanie klienta (przykładowo: fakt że ktoś 15 lutego 2024 r. ocenił szybkość wysyłki towaru na 4/5 i swoje zadowolenie z kontaktu z infolinią na 5/5 nie stanowi danych osobowych, zatem może być przetwarzane).
- W recenzji kupionego produktu, publikowanej na naszej stronie internetowej. Choć obszar recenzowania produktów po wielu latach doczekał się szczegółowej regulacji za sprawą Dyrektywy Omnibus, to przepisy te nie pozwalają administratorowi danych osobowych na przechowywanie recenzji pomimo wniosku o usunięcie danych osobowych. Oznacza to, iż w razie otrzymania wniosku o usunięcie „wszystkich” danych osobowych, musimy również skasować recenzje, których autorem jest wnioskodawca.
Jak skasować, żeby naprawdę skasować?
Jeżeli przeprowadzona zgodnie z art. 17 RODO analiza wykazała, że dane należy usunąć, to je usuwamy. Tylko czy aby na pewno i czy ostatecznie?
Bardzo ważne jest, aby zawczasu wdrożyć procedury, których dochowanie zminimalizuje ryzyko pominięcia jakichś informacji, które powinny zostać usunięte. Znamy z praktyki sytuację np. osoby, która omyłkowo dwa razy zapisała się tym samym adresem e-mail na ten sam newsletter (raz podając imię, raz imię i nazwisko, co skutkowało dwoma osobnymi rekordami w bazie danych). Gdy po paru miesiącach osoba ta zażądała usunięcia jej danych, na skutek niedopatrzenia usunięto tylko jedno wystąpienie jej adresu e-mail, a nie oba. Ten prosty przykład pokazuje jak ważne jest by – najlepiej z udziałem Działu IT – dokładnie sprawdzić czy wszystkie wystąpienia danych objętych wniosek zostały usunięte. O ile bowiem usunięcie papierowych dokumentów jest relatywnie proste, to technika potrafi płatać bolesne figle.
Stary żart mówi, że ludzie dzielą się na dwie grupy: ci, którzy robią kopie bezpieczeństwa i ci, którzy dopiero będą robić kopie bezpieczeństwa. Jeszcze przed wejściem w życie RODO zidentyfikowano problem: czy jeżeli administrator danych osobowych otrzymał żądanie ich usunięcia, czy ma również obowiązek usuwać je z wszystkich wykonanych kopii bezpieczeństwa? Sprawa ma wbrew pozorom bardzo dużą doniosłość praktyczną. O ile bowiem usunięcie danych z systemu IT jest relatywnie proste, to usuwanie ich z wykonanych kopii bezpieczeństwa jest dalece bardziej pracochłonne i wiąże się z ryzykiem nieprawidłowej realizacji czynności, czy nawet uszkodzenia samej kopii.
Po blisko 6 latach stosowania RODO można powiedzieć, że wypracowany został w tej sprawie konsensus, zgodnie z którym administrator danych osobowych nie jest zobowiązany do usuwania danych z kopii bezpieczeństwa. To bardzo rozsądna interpretacja przepisów, ale stosując ją należy pamiętać o związanych z nią ryzykach. Wyobraźmy sobie, że 10 lutego otrzymaliśmy wniosek o usunięcie danych osobowych Jana Kowalskiego. Czynność tę wykonaliśmy, powiadomiliśmy o tym podmiot danych 13 lutego. Dwa dni później doszło do poważnej awarii systemów naszej firmy i konieczne było przywrócenie wszystkich danych z kopii bezpieczeństwa, a ostatnia dobra kopia była wykonana 9 lutego. W takiej – nie aż tak nieprawdopodobnej sytuacji – pomimo prawidłowego zrealizowania wniosku dalej przetwarzamy dane osoby fizycznej. Oznacza to, że łamiemy przepisy o ochronie danych osobowych. O tym jak uniknąć tego ryzyka, piszemy poniżej.
Jak udowodnić, że usunęliśmy dane, skoro usunęliśmy dane?
Prowadzenie rejestrów związanych z ochroną danych osobowych jest niezwykle ważnym, ale nierzadko pomijanym elementem. Bardzo dobrą praktyką jest prowadzenie rejestru wniosków podmiotów danych. Dokument ten nie musi być skomplikowany – wystarczy informacja o autorze wniosku, czego dotyczył, oraz jak i kiedy został załatwiony. Ale czy administratorowi danych osobowych wolno przechowywać dane osobowe w takim rejestrze, skoro otrzymał właśnie żądanie usunięcia „wszystkich” danych osobowych? Z pomocą przychodzi nam tutaj art. 5 ust. 2 RODO, ustanawiający tzw. „zasadę rozliczalności”. Zgodnie z nią, to na ADO ciąży obowiązek udowodnienia, że postępuje zgodnie z RODO.
Zatem jeżeli usunęliśmy dane osoby fizycznej, mamy prawo odnotować kiedy, na czyj wniosek i jakie dane usunęliśmy. I – jak się wydaje – dobrze jest takie rejestr prowadzić również w formie papierowej. Dzięki temu, w przypadku koniczności odtworzenia danych z kopii zapasowej możemy sprawdzić w rejestrze, czy jakieś dane osobowe nie powinny zostać usunięte.
Co robić z postami na naszym forum i social mediach?
Nieodłącznym elementem tworzenia gier komputerowych jest budowanie wspólnoty graczy. Niezwykle przydatnymi na tym odcinku narzędziami są fora internetowe, czy oficjalne profile w mediach społecznościowych. Twórca gry najczęściej jest administratorem danych osobowych w związku z takimi działaniami (w przypadku mediów społecznościowych – oczywiście wspólnie z twórcą danej platformy).
O ile zatem działań promocyjnych nie zleciliśmy w całości poza organizację, wnioski podmiotów danych osobowych powinny również być rozpatrywane w kontekście tych kanałów komunikacji. Oznacza to, iż wniosek o usunięcie danych osobowych powinien również skutkować weryfikacją własnych profili w mediach społecznościowych oraz innych otwartych kanałów komunikacyjnych i usunięciem przetwarzanych tam danych osobowych. Z praktyki warto zwrócić tu uwagę na dwie szczególne kwestie:
- Zawsze warto potwierdzić, czy podmiot danych pisząc o „usunięciu danych” miał również na myśli dane zawarte na forach, lub profilach społecznościowych. Takie rozwiązanie jest całkowicie legalne w świetle RODO i pozwala z jednej strony zaoszczędzić sobie pracy, a podmiotowi danych – ewentualnego rozczarowania.
- W przypadku konieczności usuwania danych z portali społecznościowych warto pamiętać, że wiele z nich dysponuje całkiem zaawansowanymi wyszukiwarkami. Czyli jeżeli jako administrator profilu „ABC” otrzymaliśmy wniosek o usuniecie danych osobowych użytkownika „XYZ”, to możemy sobie znacząco ułatwić pracę wpisując w pole wyszukiwarki portalu „pokaż wszystkie komentarze XYZ na profilu ABC”.
Podsumowując
W 2018 roku RODO wprowadziło całkiem nowe prawo podmiotu danych – prawo do bycia zapomnianym. Nadal jednak pojawiają się wątpliwości co do szczegółów realizacji tego uprawnienia. Administratorzy danych osobowych powinni pamiętać, że prawo do usunięcia danych ma swoje ograniczenia i w razie jego skorzystania nie zawsze mają obowiązek usuwać każde jedno wystąpienie danych autora/ki wniosku. Z uwagi na liczne wyjątki oraz ryzyka techniczne związane z usunięciem zbyt małej, lub zbyt dużej ilości danych osobowych bardzo dobrym rozwiązaniem jest wdrożenie procedur i list kontrolnych, które uregulują postępowanie w tego typu sytuacjach. Bardzo pomocny może się też okazać nawet najprostszy rejestr wykonanych w tym zakresie czynności. Przy usuwaniu danych osobowych nie wolno też zapominać o pełnym zakresie obecności firmy w sieci – i oprócz własnych dysków, segregatorów i innych zasobów sprawdzić również zarządzane fora internetowe i profile na mediach społecznościowych.