Czy należy informować o usunięciu danych osobowych
Przepisy RODO wskazują jedynie na konieczność zapewnienia rozliczalności danych, czyli administrator musi posiadać wiedzę o tym jakie dane zostały usunięte, a także kto, kiedy i dlaczego je usunął. W praktyce stosuje się albo przyjęte procedury niszczenia na bieżąco dokumentów i usuwania plików, a także danych z systemów, dla których cel przetwarzania już ustał. Takie zasady niszczenia na bieżąco, a także obowiązku pracowników w tym zakresie powinny wynikać z oficjalnie przyjętej proceduy. W przypadku dokonywania przeglądów danych osobowych, na skutek których usuwa się większe ilości danych, stosuje się protokoły zniszczenia dokumentów.
Powstaje jednak pytanie, czy jeżeli usuwamy dane osobowe, powinniśmy poinformować osobę której dane dotyczą o tym fakcie. Czy powinna mieć wiedzę, że od tego momentu nie mamy już jej danych (czyli na przykład nie będziemy w stanie zrealizować jej prawa z art. 15 RODO do uzyskania kopii danych).
Przepisy RODO dość szczegółowo regulują prawa osób, których dane dotyczą, w szczególności podkreślając prawo do uzyskania wyczerpującej informacji o zasadach i zakresie przetwarzania swoich danych. W szczególności taka osoba może też żądać usunięcia jej danych osobowych. W takim wypadku, zgodnie z art. 12 RODO, administrator powinien poinformować tę osobę o sposobie realizacji jej żądania, w szczególności o usunięciu jej danych.
Jednakże jeżeli jeżeli usuwanie danych nie odbywa się na wniosek osoby, której dane dotyczą, administrator nie ma obowiązku informowania osób, których dane usunął, o zakończeniu przetwarzania. Są sytuacje, w których, mimo że nie jest konieczne, byłoby wskazane poinformowanie osób, których dane dotyczą o tym że usunęliśmy ich dane w celu zapewnienia dobrych relacji z tą osobą (szczególnie jeżeli otrzmujemy dużo wniosków o realizowanie praw osób wynikających z RODO), co pozwoli uniknąć niezadowolenia z faktu, że nie posiadamy już danych, gdyby taka osoba potrzebowała uzyskać ich kopię.
Należy podkreślić, że administrator informuje w przekazywanej klauzuli informacyjnej o planowanym terminie usunięcie danych, zatem nie można mówić o tym, że ta osoba nie miała wiedzy o planowanym terminie usunięcia jej danych i że zostanie to wykonane. Są jednak sytuacje, w których kryteria usunięcia danych, są mniej precyzyjne, np. administrator informuje, że po udzieleniu odpowiedzi, gdy w jego ocenie sprawa została zamknięta, usunie dane. W wielu przypadkach ze względu na koszty przechowywania niepotrzebnych już informacji, są one usuwane. Jeżeli jest to realizowane w ramach systemu informatycznego, można (ale nie trzeba) wprowadzić mechanizm wysłania automatycznej wiadomości e-mail o tym, że sprawa została zamknięta, a dane usunięte.
Innym przykładem może być zaprzestanie wysyłania newslettera lub świadczenia jakieś innej usługi drogą elektroniczną, które wiążę się z usunięciem danych osobowych, dla których pretwarzania po prostu ustał. Osoba której dane dotyczą w momencie otrzymania informacji o zawieszeniu zakończenie świadczenia usługi powinna zostać także poinformowana, że jej dane zostały już usunięte z bazy. W takim wypadku jest to zabezpieczenie własnego interesu, np. gdyby ta osoba miała podejrzenie żadne administrator po zakończeniu świadczenia usługi sprzedał dane innemu podmiotowi.
Reasumując powiadomienie osoby, której dane dotyczą o usunięciu jej danych, jeżeli takie usunięcie nie następuje na wniosek tej osoby, nie jest wymagane. Jednakże w określonych sytuacjach może być wskazane i uzasadnione. Niezależnie od tego czy administrator będzie informował o usunięciu danych, powinien być w stanie zapewnić rozliczalność w związku z usuwaniem danych, w szczególności jeśli dane są usuwane z systemów informatycznych, powinny one odnotowywać takie działanie.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
