Publicystyka - ngo.pl

Osobom, których dane osobowe są przetwarzane przez organizację przysługuje katalog uprawnień wynikających z przepisów Rozporządzenia RODO. Jednym z tych uprawnień jest prawo do żądania usunięcia przez administratora ich danych osobowych. Wiele organizacji zadaje sobie pytanie, co to oznacza w praktyce oraz jak daleko sięga to uprawnienie. Czy wystąpienie z takim żądaniem przez daną osobę fizyczną oznacza, że bez względu na zaistniały stan faktyczny, takie dane powinny zostać przez organizację usunięte? A co w sytuacji, w której przetwarzanie takich danych osobowych jest konieczne ze względu na obowiązujące przepisy prawa, np. przepisy rachunkowe, lub też przetwarzanie takich danych osobowych jest uzasadnione interesem organizacji, np. jest niezbędne do dochodzenia przez organizację jej roszczeń?

Powyższe wątpliwości są w pełni uzasadnione, a wskazane wyżej okoliczności mogą mieć istotne znaczenie dla dokonania oceny czy żądanie osoby, której dane osobowe przetwarza organizacja, może być spełnione. Prawo do usunięcia danych nie ma bowiem charakteru bezwzględnego.

Administrator danych, którym w tym wypadku jest organizacja, nie ma obowiązku spełnienia tego żądania, jeżeli:

• nie zostały spełnione określone przesłanki z art. 17 ust. 1 RODO lub
• jeżeli występują wyłączenia wskazane w art. 17 ust. 3 RODO. 

Jak wynika z motywu 65 Preambuły RODO oraz z art. 17 ust. 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;

c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania na potrzeby marketingu bezpośredniego, w tym profilowania.

d) dane osobowe były przetwarzane niezgodnie z prawem;

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1. tj. dane są danymi dziecka i są przetwarzane na podstawie zgody.

Zatem, jeżeli do organizacji zgłosi się osoba, która zażąda usunięcia jej danych osobowych w pierwszej kolejności należy się zastanowić czy wskazane wyżej okoliczności mają zastosowanie do sytuacji, w której znajduje się osoba składająca żądanie. W tym celu pomocne będzie szczegółowe przeanalizowanie procesu (lub procesów) przetwarzania danych osobowych, podczas których dochodzi (lub dochodziło) do przetwarzania danych osobowych tej osoby, a także podstaw prawnych przetwarzania tych danych osobowe. Organizacja powinna zadań sobie pytanie w jakim celu przetwarza (lub przetwarzała) dane osobowe tej osoby oraz czy dane są nadal organizacji niezbędne, w kontekście celów realizowanych przez organizację. Żądanie usunięcia danych należy rozpatrywać osobno dla każdej z przesłanek przetwarzania. Żądanie może dotyczyć wszystkich danych osobowych przetwarzanych przez organizację lub też ich części, w zakresie wskazanym przez osobę występującą z żądaniem.

Przykładowo, dane członka stowarzyszenia są niezbędne temu stowarzyszeniu do realizacji powstałego stosunku członkostwa na zasadach wynikających ze statutu stowarzyszenia. Zgodnie z dominującym (zarówno w orzecznictwie, jak i w doktrynie) poglądem, statut stowarzyszenia należy uznać za umowę cywilnoprawną zawartą pomiędzy członkami stowarzyszenia. Zatem, przynajmniej w okresie członkostwa, podstawą przetwarzania danych zwykłych członka będzie stanowił art.  art. 6 ust. 1 lit. b) RODO (tj. w celu zawarcia na żądanie członka umowy i jej realizacji). Wystąpienie członka lub jego wykluczenie ze stowarzyszenia będzie powodowało rozwiązanie uprzednio zawartej umowy i nawiązanego na jej podstawie stosunku członkostwa. Czy oznacza to zatem, że były członek stowarzyszenia może żądać od stowarzyszenia bezwzględnego usunięcia jego danych osobowych?

Odpowiedź na to pytanie w wielu przypadkach będzie negatywna.  

Po zakończeniu stosunku członkostwa podstawą prawną przetwarzania danych osobowych może być interes administratora danych osobowych (art. 6 ust. 1 lit. f) RODO) polegający m.in. na konieczności dokonywania weryfikacji w zakresie możliwości ponownego przyjęcia w poczet członków. Część statutów dopuszcza możliwość ponownego ubiegania się o członkostwo osób, które zostały z jakiegoś powodu wykluczone z tego grona. Ponowne przyjęcie w poczet członków jest możliwe np. po upływie określonego czasu. Żeby ocenić czy dana osoba może ponownie przystąpić do stowarzyszenia i czy wskazany w statucie okres uprawniający ją do takiego działania upłynął, niezbędne jest posiadanie przez organizację informacji pozwalających na weryfikację danego stanu faktycznego.

Kolejną podstawą prawną przetwarzania danych osobowych byłego członka stowarzyszenia może być art. 6 ust. 1 lit c) czyli konieczność realizacji obowiązków wynikających z przepisów prawa – mogą to być np. obowiązki rachunkowe związane z koniecznością rozliczania wpłaconych składek (np. konieczność dokumentowania wpłat).

Zgodnie z art. 17 ust. 3 RODO przesłanką uniemożliwiającą spełnienie żądania usunięcia danych jest sytuacja, kiedy przetwarzanie danych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Zatem jeżeli przepis prawa nakłada obowiązek, którego wykonania jest związane z koniecznością przetwarzania danych, administrator nie ma obowiązku spełniać żądania usunięcia danych (np. obowiązki rachunkowe).

Mogą to być również obowiązki związane z koniecznością dokumentowania działania organów stowarzyszenia, np. walnego zgromadzenia członków. Prowadzenie dokumentacji, której obowiązek nie wynika wprost z przepisów prawa (np. ustawy o stowarzyszeniach bądź innych ustaw), może być związane z uzasadnionym interesem stowarzyszenia i w tym wypadku również będzie to podstawa prawna do przetwarzania danych osobowych byłego członka stowarzyszenia – art. 6 ust. 1 lit f) RODO. 

Podstawą prawną przetwarzania danych osobowych, zarówno w trakcie trwania członkostwa jak i po jego zakończeniu, może być również art. 6 ust. 1 lit f) RODO czyli uzasadniony interes administratora danych osobowych polegający m.in. na konieczności dokumentowania i rozliczania pewnych działań stowarzyszenia w związku np. z realizacją określonych projektów.

Uzasadniony interes stowarzyszenia, polegający na dochodzeniu przysługujących mu roszczeń (np. zapłaty składek) również może stanowić podstawę prawną przetwarzania danych osobowych. Podobnie w przypadku obrony przed roszczeniami. Jeżeli członek stowarzyszenia pozwie stowarzyszenie z jakiego powodu, to stowarzyszenie musi się bronić przed tymi roszczeniami, a w tym celu musi posiadać informacje (w tym dane osobowe) dotyczące tego członka. Usunięcie danych członka oznaczałoby, niemożliwość podjęcia jakiekolwiek obrony.

Art. 17 ust. 3 zawiera również inne wyłączenia tj. przetwarzanie jest niezbędne:

1) do korzystania z prawa do wolności wypowiedzi i informacji,

2) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego

3) o celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

Jednak możliwość ich zastosowania, w przypadku większości organizacji, będzie raczej marginalna.

Wracając do podstaw żądania usunięcia danych osobowych, jeżeli po przeprowadzonej analizie organizacja dojdzie do wniosku, że żadna z ww. przesłanek nie została spełniona, nie będzie miała ona obowiązku realizowania zgłoszonego do niej żądania. Jednocześnie należy pamiętać, że może się zdarzyć, że prawo do usunięcia danych osobowych będzie mogło zostać zrealizowane jedynie co do niektórych danych osobowych, bo przesłanki wskazane powyżej zaistnieją tylko w takim zakresie.

Przykładowo organizacja nie będzie mogła usunąć imienia i nazwiska swojego byłego zleceniobiorcy, ponieważ będzie się ono znajdowało w dokumentacji rachunkowej, którą organizacja jest zobowiązana przechowywać przez czas wynikający z przepisów prawa, ale usunięcie adresu mailowego wykorzystywanego do przesyłania zamówionego przez zleceniobiorcę newslettera, po cofnięciu przez niego uprzednio wyrażonej na taką wysyłkę zgody, może okazać się konieczne. Prawo do usunięcia danych może być zatem zrealizowane jedynie w części.

Organizacja powinna natomiast pamiętać, że dane osobowe w wielu przypadkach są przetwarzane w więcej niż jednym celu. Jeżeli określone dane nie są niezbędne do realizacji istniejącego celu – powinny zostać usunięte niezależnie od złożenia żądania ich usunięcia. Jeżeli cel przetwarzania ustał – brak jest podstaw do przetwarzania danych osobowych (zasada ograniczonego celu przetwarzania danych osobowych).

Z punktu widzenia żądania usunięcia danych osobowych bardzo istotne jest ustalenie przez organizację okresów retencji poszczególnych danych osobowych tj. okresów przechowywania tych danych przez organizację.

Nie jest możliwe ustalenie jednego terminu przechowywania danych osobowych dla wszystkich przetwarzanych przez organizację danych. Okresy przechowywania danych będą uzależnione od celów przetwarzania danych osobowych. W wielu przypadkach będą one wynikać z obowiązujących przepisów prawa i będą związane z okresami przechowywania określonych dokumentów (np. dokumentacji pracowniczej, dokumentacji rachunkowej). Terminy przechowywania dokumentów mogą również wynikać z innych niż przepisy wymogów, np. mogą wynikać z określonych wymogów projektowych. W niektórych przypadkach organizacja sama będzie musiała określić takie termin biorcą pod uwagę cel, któremu służy przechowywanie danej dokumentacji. Należy pamiętać, że dochodzenie roszczeń również jest ograniczone w czasie (termin przedawnienia), co oznacza, że przechowywanie danych w tym celu również nie może trwać w nieskończoność. Długość okresu przedawnienia (najdłuższy przewidziany w kodeksie cywilnym wynosi obecnie 6 lat) będzie wpływała na długość okresu przechowywania danych osobowych.

Ustalenie maksymalnych terminów przechowywania danych osobowych, jest jednym z wymogów RODO (zasada ograniczonego przechowywania danych osobowych) i jednocześnie może okazać się bardzo pomocne przy dokonywaniu analizy zasadności złożonego do organizacji żądania usunięcia danych osobowych.