Zgodnie z art. 5 ust. 1 lit. e RODO administrator może przetwarzać dane osobowe w formie umożliwiającej identyfikację osoby, której dane dotyczą przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe mogą być przechowywane przez okres dłuższy, jeśli będą przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub statystycznych. Dłuższy okres przechowywania danych osobowych może też wynikać z treści przepisów szczegółowych. W całym okresie przechowywania danych osobowych, administrator ma obowiązek stosować odpowiednie środki techniczne i organizacyjne służące zapewnieniu ich poufności, integralności i dostępności. Po upływie okresu, w którym dane osobowe mogą być przechowywane należy dokonać ich anonimizacji, w wyniku której przechowywane informacje tracą charakter danych osobowych lub te dane usunąć. Usunięcie danych może polegać w szczególności na wykasowaniu danych, ich nadpisaniu lub zniszczeniu nośników, na których były one utrwalone.
Przystępując do takich działań należy pamiętać, że w świetle art. 4 pkt 2 RODO usuwanie lub niszczenie danych osobowych stanowi formę ich przetwarzania, a co za tym idzie musi następować z zachowaniem zasad, na których to przetwarzanie się opiera i przy zastosowaniu odpowiednich rozwiązań technicznych i organizacyjnych.
Usunięcie danych osobowych może nastąpić dopiero po upływie terminów ich przechowywania. Przedwczesne usunięcie danych, skutkujące utratą dostępności danych stanowi naruszenie ochrony danych i naraża administratora na możliwość nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych kary pieniężnej.
Za usunięcie danych odpowiedzialny jest administrator, który może jednak zlecić usunięcie danych osobowych wyspecjalizowanemu podmiotowi. Jest to szczególnie uzasadnione, gdy administrator nie dysponuje odpowiednimi środkami, aby dokonać usunięcia danych samodzielnie. Ponieważ usunięcie i zniszczenie danych stanowią element przetwarzania danych osobowych, w przypadku, gdy administrator zdecyduje się zlecić ich przeprowadzenie innemu podmiotowi dojdzie do powierzenia przetwarzania danych osobowych w rozumieniu RODO. Konieczne będzie zatem zawarcie umowy powierzenia przetwarzania danych osobowych spełniającej wymagania określone w art. 28 RODO.
Przepisy RODO nie wprowadzają ani standardów, ani tym bardziej żadnych szczególnych wymagań dotyczących sposobu usunięcia danych. Jako ogólny wymóg można wskazać, że w każdym przypadku dane muszą zostać usunięte tak, aby nie było możliwości zapoznania się z ich treścią i w sposób nieodwracalny, tj. tak, aby nie istniała możliwość ich odtworzenia. Jeżeli administrator całkowicie zaprzestaje przetwarzania określonych danych należy pamiętać o usunięciu wszystkich ich kopii.
Wskazówką co do sposobu postępowania przy usuwaniu danych może być międzynarodowa norma ISO/IEC 21964. Norma określa zasady niszczenia nośników z uwzględnieniem ich rodzaju oraz klasy ochrony informacji, które są na nim zapisane.
Norma ISO/IEC 21964 wprowadza trzy klasy ochrony informacji: klasa 1 – zwykłe informacje i informacje o charakterze wewnętrznym, które wymagają podstawowej ochrony; klasa 2 – informacje, których ujawnienie osobom nieuprawnionym mogłoby naruszyć zobowiązania umowne lub ustawowe (w tym np. dane osobowe lub informacje finansowe) i które w związku z tym wymagają zwiększonej ochrony; klasa 3 – informacje tajne, których ujawnienie mógłoby spowodować zagrożenie dla zdrowia, życia lub wolności osób, których dane dotyczą i które wymagają bardzo wysokiego poziomu ochrony. Jednocześnie norma ISO/IEC 21964 dokonuje klasyfikacji nośników informacji w 6 kategoriach: kategoria P - papier, wydruki, klisze filmowe i zdjęciowe itp.; kategoria F - nośniki w pomniejszonym rozmiarze, np. mikrofilmy; kategoria O – nośniki optyczne, np. płyty CD lub DVD; kategoria T - magnetyczne nośniki danych, np. karty z paskiem magnetycznym, dyskietki; kategoria H – twarde dyski HDD; kategoria E - elektroniczne nośniki danych, np. karty pamięci, urządzenia typu pendrive, twarde dyski SSD. W odniesieniu do każdej kategorii nośników norma określa siedem poziomów bezpieczeństwa, które wskazują wymagany sposób zniszczenia nośnika (poprzez określenie poziomu uszkodzenia, deformacji lub dopuszczalnej wielkości ścinka pozostającego po zniszczeniu). W odniesieniu do informacji klasy 1 dopuszczalne jest niszczenie nośników, na których zostały utrwalone na poziomie 1-3, w odniesieniu do informacji klasy 2 na poziomie 3-5, zaś w przypadku informacji klasy 3 na poziomie 4-7.
Kierując się potrzebą zapewnienia maksymalnej ochrony danych w procesie ich niszczenia, ale też mając na względzie fakt, że zdecydowana większość danych klasyfikowana jest do klasy 2, jako zasadę można przyjąć, że niszczenie nośników powinno odbywać się na poziomie bezpieczeństwa nie niższym niż 4 i to właśnie z takich rozwiązań rekomendujemy korzystać przy zakupie sprzętu, który ma służyć do niszczenia nośników lub przy wyborze podmiotu, któremu zlecimy usługę ich zniszczenia. Odpowiednie wymagania warto uwzględnić w specyfikacji przygotowywanej na potrzeby postępowania o udzielenie zamówienia publicznego.
Grzegorz Lubeńczuk
Kancelaria Wyrzykowscy
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.