Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Procedura usuwania danych –przetwarzanych w sposób zautomatyzowany

02-06-2020 Autor: Tomasz Izydorczyk

Przetwarzanie danych osobowych w sposób tradycyjny oraz zautomatyzowany, usuwanie danych – jak je przeprowadzić w sposób zgodny z prawem pod względem technicznym oraz organizacyjnym? Wyjaśniamy krok po kroku.

 

Zanim przejdziemy do wyjaśniania pojęcia „zautomatyzowane przetwarzanie danych”, należy przypomnieć, że rodo w art. 2 wskazuje na trzy sposoby przetwarzania danych osobowych:

  1. sposób całkowicie zautomatyzowany,
  2. częściowo zautomatyzowany,
  3. inny niż zautomatyzowany.

Przekładając ten podział sposobu przetwarzania na bardziej praktyczny język, można powiedzieć, że przetwarzanie danych osobowych może odbywać się:

ad 1) wyłącznie elektronicznie (w systemach komputerowych);

ad 2) częściowo elektronicznie (w systemach komputerowych);

ad 3) inaczej niż elektronicznie (w systemach komputerowych).

 

Tym samym rodo, realizując postulat neutralności technologicznej, zachowuje pewien dystans do wszystkich innych sposobów przetwarzania informacji, o których może jeszcze nie wiemy, że w przyszłości będą one nowo wynalezionymi sposobami przetwarzania informacji. Wracając jednak do teraźniejszej wiedzy i praktycznego wymiaru naszych rozważań, można powiedzieć, że rozróżniamy dwa podstawowe sposoby przetwarzania danych osobowych: tradycyjny (np. na papierze) oraz „zautomatyzowany”.

 

Zgodnie z definicją zawartą w Konwencji nr 108 Rady Europy w pierwotnym brzmieniu zautomatyzowane przetwarzanie danych sprowadza się do przetwarzania przy wykorzystaniu techniki komputerowej. Możemy dokonać pewnego uproszczenia polegającego na tym, że wystarczy wprowadzić dane do dowolnego komputera (lub innego urządzenia zawierającego elektroniczne nośniki danych), a już można mówić, że dane są przetwarzane w sposób zautomatyzowany. Dla uproszczenia rozumienia rozważań na ten temat możemy powiedzieć, że dane przetwarzamy:

  • elektronicznie (czyli z wykorzystaniem komputerów);
  • tradycyjnie (czyli na papierze).

Co to jest usuwanie danych?

Rodo nie zawiera definicji legalnej usuwania danych osobowych. Nieobowiązująca już dyrektywa 95/46/WE ani nasza aktualna ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych także nie zawierają definicji legalnych usuwania danych. Natomiast poprzednia ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych posiadała definicję usuwania dodanych w następującym brzmieniu: „rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą”.

Powyższa definicja zakłada, że usuwanie nie musi polegać wyłącznie na „niszczeniu” danych, ale może także polegać na „modyfikacji” danych osobowych. Istotnym skutkiem operacji usuwania ma być uniemożliwienie ustalenia tożsamości osoby fizycznej.

 

Przykład #1
modyfikacji danych przetwarzanych tradycyjnie zaczernienie lub zamazanie np. długopisem, korektorem danych zapisanych na kartce papieru

Przykład #2
modyfikacji danych przetwarzanych w sposób zautomatyzowany usunięcie pliku z danymi za pomocą funkcji Shift+Delete w systemie Windows (z pominięciem kosza)

To są chyba najczęściej stosowane sposoby (właśnie) nie usuwania, tylko modyfikowania danych, które skutkują uniemożliwieniem ustalenia tożsamości osoby fizycznej.


Dlaczego prawo do usunięcia danych jest jednym z najtrudniejszych do realizacji praw pod względem technicznym i organizacyjnym?

 

Usuwanie danych w przepisach rodo należy rozumieć szerzej, niż zakłada potoczne znaczenie tego czasownika. „Usuwanie” niekoniecznie musi oznaczać spowodowanie, że zapis informacji na konkretnym nośniku danych bezpowrotnie zniknie. Usuwanie danych, o jakim mowa w rodo, najczęściej nie oznacza usuwania jednostek informacji – czyli poddania takiemu zabiegowi danych, aby tych informacji nie dało się już nigdy odczytać. Będzie tak się działo z elektronicznymi nośnikami informacji, w szczególności z dyskami magnetycznymi, które są bardzo popularnym sposobem przechowywania danych w postaci cyfrowej.

Jeśli spojrzeć bardzo wąsko na prawo do usunięcia danych zapisane w art. 17 rodo, to jeśli osoba, której dane dotyczą, zwróci się z wnioskiem o usunięcie jej danych osobowych, a wniosek taki zostanie rozpatrzony pozytywnie, to administrator taki powinien niezwłocznie usunąć takie dane ze wszystkich nośników informacji, jakie posiadł. Jeśli dane są przetwarzane np. na dyskach magnetycznych (co ma miejsce w wielu komputerach, serwerach), administrator powinien odszukać wszystkie dyski, na których znajdują się lub znajdowały dane osobowe konkretnej osoby, i zniszczyć je fizycznie. Fizyczne zniszczenie nośnika magnetycznego może polegać na rozkruszeniu talerzy magmatycznych na tysiące drobnych kawałków lub poprzez stopienie talerzy w jakiejś substancji rozpuszczającej. Praktyka jest jednak taka, że żaden administrator nie usuwa danych w ten sposób. Jeśli jakiś nośnik danych (dysk) jest niszczony, to dzieje się to dopiero na koniec okresu jego użytkowania, a nie z uwagi na zakończenie okresu retencji konkretnych danych osobowych konkretnej osoby.

 

[...]

 

Autor jest wykładowcą w WSB w Poznaniu, konsultantem w kancelarii MARUTA WACHTA sp. j. oraz mentorem w FundingBox Accelerator.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.