Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Dalsze przechowywanie danych osobowych

22-09-2020 Autor: Mateusz Franke

Zasadą wynikającą z rodo jest obowiązek zwrotu lub usunięcia danych osobowych oraz usunięcia ich kopii przez podmiot przetwarzający po zakończeniu świadczenia usług dla administratora. Od tego obowiązku istnieje wyjątek. Dotyczy on sytuacji, w której prawo nakazuje przechowywanie danych osobowych.

 

Zgodnie z art. 28 ust. 3 lit. g rodo podmiot przetwarzający „po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych”. Przytoczony przepis można rozpatrywać z dwóch perspektyw.


Po pierwsze wynika z niego zasada, że zakończenie powierzenia przetwarzania danych osobowych skutkuje obowiązkiem zwrotu lub usunięcia tych danych przez podmiot przetwarzający (zależnie od decyzji administratora). Podmiot przetwarzający musi również usunąć wszelkie kopie powierzonych mu danych osobowych. Od tej zasady istnieje wyjątek. Rodo dopuszcza dalsze przechowywanie danych osobowych przez podmiot przetwarzający, mimo zakończenia świadczenia usług dla administratora, jeśli prawo unijne lub prawo państwa członkowskiego nakłada na podmiot przetwarzający taki obowiązek.


Po drugie – prawodawca unijny w art. 28 ust. 3 lit. g in fine rodo wskazuje na to, że przepisy szczególne mogą ograniczać sposób postępowania z danymi osobowymi po zakończeniu świadczenia usług wymagających powierzenia przetwarzania (np. zakazując usuwania danych osobowych). Postanowienia umowy powierzenia powinny w stosownym przypadku uwzględniać takie ograniczenia. Przykładem takiej regulacji może być art. 24 ust. 7 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.


Problem z regulacją


W praktyce wskazanie przykładu regulacji wprost nakazującej podmiotowi przetwarzającemu dalsze przechowywanie danych osobowych jest trudne.
Artykuł 28 ust. 3 lit. g in fine rodo można jednak próbować odnosić do sytuacji, której dotyczyła decyzja GIODO z 19 sierpnia 2008 r. (DIS/DEC-487/21468, 21472/08). W stanie faktycznym będącym przedmiotem tej decyzji przedsiębiorca zlecił agencji marketingowej kompleksową organizację loterii promocyjnej. Zdaniem GIODO to ten przedsiębiorca, podejmując ogólną decyzję o organizacji loterii oraz zatwierdzając działania agencji marketingowej, decydował o celach i środkach przetwarzania danych osobowych uczestników promocji. Dlatego – według GIODO – to wyłącznie zleceniodawca loterii miał status administratora, zaś agencja marketingowa, która tę loterię faktycznie organizowała i obsługiwała, była podmiotem przetwarzającym.


GIODO nie zauważył, że agencja marketingowa posiadała swoje cele i podstawy przetwarzania, takie jak wykonanie umowy gry losowej zawartej z uczestnikami we własnym imieniu czy realizacja nałożonych na organizatora obowiązków prawnych wynikających z przepisów regulujących hazard. Jest to jednak materiał na osobne rozważania, które wykraczają poza ramy niniejszego artykułu.


Gdyby jednak zgodzić się z przedstawionym stanowiskiem GIODO i uznać je za aktualne w obecnym stanie prawnym, to art. 28 ust. 3 lit. g in fine rodo miałby istotne znaczenie. Wyjaśniałby on bowiem, na jakiej zasadzie agencja marketingowa po zakończeniu loterii organizowanej na zlecenie klienta może dalej przechowywać dane osobowe uczestników zawarte w dokumentacji prowadzonej zgodnie z przepisami o grach hazardowych, które nakładają na organizatora obowiązek przechowywania określonych ewidencji i danych jeszcze przez kilka lat.

 

[...]

 

Autor jest radcą prawnym, partnerem w kancelarii ADV LEGAL, członkiem OIRP w Krakowie.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.