Usuwanie ≠ usuwanie – czyli filozofia RODO dotycząca usuwania danych osobowych

Prawo do bycia zapomnianym, zostało wprowadzone do RODO1) w art. 5 ust. 1 (zasady ograniczonego celu i ograniczonego przechowywania w czasie), a doprecyzowane w art. 17 i nazwane równolegle “prawem do usunięcia danych”. Tylko jak usunąć dane osobowe z nośników elektronicznych, na których jak wiemy, nie usuwają się dane, a jedynie nadpisują, bądź “gubione” są ścieżki do informacji, czy po prostu nie wyświetlają się dane “niby-usunięte”. No i jak zapomnieć, skoro człowiek ma duże możliwości zapamiętywania.

Krótka geneza art. 17 Prawa do bycia zapomnianym
Jak wskazuje się w piśmiennictwie 2),  na wprowadzenie prawa do bycia zapomnianym, w tej formie jaką mamy obecnie, duży wpływ miał wyrok Trybunału Sprawiedliwości UE w sprawie Google Spain (wyr. z  13 maja 2014 r. C-131/12). 3) W skrócie, sprawa polegała na tym, że pan Mario Costeja González chciał aby Internet, a przynajmniej za pomocą wyszukiwania w Google, “zapomniał” o jego dawnych problemach finansowych dotyczących m.in. ogłoszenia licytacji nieruchomości związanej z niespłaconymi należności na rzecz zakładu ubezpieczeń społecznych. Pan Mario, przeszedł możliwe krajowe – hiszpańskie i europejskie instancje administracyjno – sądowe. Na końcu tej drogi, Trybunał Sprawiedliwości Unii Europejskiej (TSUE), potwierdził, że ma on prawo do “bycia zapomnianym”, a operator wyszukiwarki Google, został zmuszony do usunięcia linków łączących jego imię i nazwisko z informacją o licytacji nieruchomości w zawiązku z jego długami. Paradoksalnie, Pan Mario nigdy już za pewne nie zostanie zapomniany, a jego sprawa dot. długów z lat ’90, już na stałe wpisała się w świat ochrony danych osobowych. I choć Google wyrok wykonał (nie linkuje już do informacji o licytacji nieruchomości) to jednak, skutecznie działa on na terenie Europy. Poza nią, a dokładniej poza UE, jurysdykcja hiszpańskich i czy unijnych organów, czy sądów skutecznie nie sięga. Nie będąc specjalistą od jurysdykcji, nie zgłębię tematu w niniejszym artykule, lecz 
odsyłam Szanownych Czytelników do znakomitego znawcy tematu, dra Michała Czerniawskiego, polecając jego liczne publikacje.

Usuwanie  ≠ usuwanie
Główną tezą niniejszego artykułu jest właśnie, to że usuwanie  w rozumieniu RODO, nie koniecznie musi się równać z usuwaniem w rozumieniu potocznym. Usuwanie danych, o jakiem mowa w RODO, tak naprawdę nie musi oznaczać (i najczęściej nie oznacza) usuwania informacji – czyli poddania takiemu zabiegowi danych, aby tych informacji nie dało się już ich nigdy odczytać, (swojego rodzaju zniszczenie). Tak przynajmniej będzie się działo z elektronicznymi nośnikami informacji, w szczególności, dyskami magnetycznymi, które (śmiem twierdzić) są najpopularniejszym sposobem, stosowanym przez administratorów, przechowywania danych w postaci cyfrowej. Jeśli spojrzeć bardzo restrykcyjnie na prawo do usunięcia danych, to jeśli podmiot danych (osoba, której dane dotyczą) zwróci się z wnioskiem o usunięcie jego danych osobowych, wniosek zostanie rozpatrzony przez administratora pozytywnie, to taki administrator powinien bezsprzecznie dane usunąć 5). Zakładając że dane są przetwarzane przy pomocy dysków magnetycznych (co ma miejsce w wielu komputerach, serwerach), administrator powinien odszukać wszystkie dyski, na których znajdują się lub znajdowały dane osobowe konkretnej osoby i zniszczyć je fizycznie np. poprzez stopienie talerzy magnetycznych w jakiejś substancji rozpuszczającej, skutecznie niszcząc takie nośniki. Tylko który administrator wykonuje usuwanie danych w ten sposób? Zakładam, że żaden. Jeśli jakiś nośnik danych (dysk) jest niszczony, to dzieje się to z uwagi na koniec okresu jego eksploatacji, a nie z uwagi na realizację prawa do usuwania danych jednej osoby.

Usuwanie danych a anonimizacja
Usuwanie danych osobowych możemy realizować także poprzez anonimizację danych. Choć RODO nie definiuje pojęcia anonimizacji, to jednak wskazuje jak należy tą operację na danych rozumieć w motywie 26. Pozostawienie jakiś informacji, które uniemożliwiają ustalenie tożsamości jest formą “zapominania” danych osobowych. Motyw 26 RODO podkreśla również
, że jeśli weźmie się pod uwagę wszelkie rozsądnie prawdopodobne sposoby, wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do zidentyfikowania osoby fizycznej, oraz dostępną technologię w momencie przetwarzania danych, jak i postęp technologiczny, to istnieje możliwość, że mimo pozostawienia pewnych informacji, administrator nie będzie musiał traktować ich jako dane osobowe. W tym miejscu gorąco polecam lekturę pt. “Anonymisation: managing data protection risk code of practice (listopad 2012 r.)” brytyjskiego organu ochrony danych osobowych ICO, który w bardzo obszernym dokumencie opisuje techniki i przykłady anonimizacji danych osobowych.

Definicja usuwania danych
RODO nie zawiera definicji usuwania danych osobowych. Z jednej strony szkoda, że takowa nie znalazła się w rozporządzeniu. Z drugiej strony, błędnie zdefiniowane usuwanie danych, które nie uwzględniałoby aspektów i możliwości technologicznych, mogłoby narobić więcej szkody, niż pożytku. Należy również zaznaczyć, że ani dotychczas obowiązująca dyrektywa 95/46/WE 4), ani nasza nowa, krajowa Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 poz. 1000 ze zm. link tutaj) także nie zawierają definicji usuwania danych. Natomiast “stara” (choć jeszcze częściowo aktualna) Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (ostatnia wersja ujednolicona pod linkiem tutaj) w art. 7 pkt 3) definiuje usuwanie dodanych następująco:

rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą

Ciekawostką jest, że powyższa definicja funkcjonuje od samego początku ustanowienia systemu ochrony danych osobowych z Polsce, czyli od 29 sierpnia 1997 r. Definicja zakłada, że usuwanie nie musi polegać wyłącznie na “destrukcji” informacji, ale może polegać także na “modyfikacji” danych osobowych.  Istotnym elementem takiej operacji usuwania będzie uniemożliwienie ustalenia tożsamości. Jeśli na kartce papieru zapiszę dane osobowe, następnie tym samym długopisem, zamażę owe dane w taki sposób, że nie da się odczytać tych danych (w żaden sposób, czy to pod światło, czy przy wykorzystaniu specjalnych technik analizy nacisku długopisu na kartę itd.), to przecież nie usunąłem danych, a jedynie je zmodyfikowałem. Podobnie będzie z nośnikami magmatycznymi. Czy użytkownik systemu usuwa plik z danymi, czy same dane? Jeśli to zrobi w taki sposób, że nie będzie mógł ich odzyskać, np. dane / plik nie znajdą się w kosztu, z którego łatwo odzyskać dane, to taki użytkownik jest przeświadczony, że dane zostały usunięte. Jak powszechnie wiadomo, nawet formowanie takiego dysku, nie jest skutecznym usunięciem informacji. System zapisu danych na takiego typu nośnikach, został zaprojektowany tak, aby nadpisywać informacje albo “gubić” ścieżki do poszczególnych informacji, a nie skutecznie je usuwać. Oczywiście przeciętny użytkownik nie odzyska tych danych. Do tego trzeba po pierwsze fizycznego dostępu do nośnika (do dysku), po drugie specjalistycznych kompetencji i po trzecie specjalistycznych narzędzi do odzyskiwania danych z nośników. Powyższe rozumienie “usuwania danych” ma bardzo praktyczne i racjonalne znaczenie. Administrator może więc zastosować szereg środków technicznych i organizacyjnych zmierzających do usunięcia – czyli taką modyfikację danych aby na podstawie informacji, które pozostały, nie dało się ustalić tożsamości osoby.

Środki technicznie i organizacyjne prowadzące do uniemożliwienia ustalenia tożsamości osoby
Administrator może podjąć (i zazwyczaj podejmuje) następujące środki:

  • umożliwienie usuwania danych z systemu IT (jedna z funkcjonalności dla użytkownika systemu)
  • wprowadzenie zakazu wymontowywania dysków twardych i innych nośników danych z urządzeń służbowych 
  • wprowadzenie ograniczonego dostępu do dysków (oraz innych nośników danych),
  • wprowadzenie zakazu przekazywania nośników danych (dysków) poza organizację (nawet w przypadku serwisowania sprzętu),
  • wprowadzenie wielokrotnego czyszczenia dysku przed oddaniem do zniszczenia,
  • wprowadzenie silnego szyfrowania pustego dysku przed odsprzedażą urządzenia np. pracownikowi,
  • utylizacja zużytych dysków przez wyspecjalizowanych dostawców, gwarantujących skuteczne zniszczenie nośników i zawartych na nich danych (co może wiązać się z zawarciem umowy powierzenia),

Wszystkie powyższe środki zbliżają administratora do pełnej skuteczności uśnięcia danych osobowych, jednak nie dają one 100% pewności. Usuwanie danych, jak każda inna operacja na danych, jest obarczona ryzykiem i jest ono wpisane w przetwarzanie danych osobowych, co wielokrotnie podkreśla RODO (tzw. podejście oparte na ryzyku).

Pewność usunięcia danych
Administrator może mieć poczucie pewności pełnego usunięcia danych osobowych np. w przypadku gdy dane były zapisane na jednej kartce papieru, nie została wykonana kopia tych danych z tej jedynej kartki, nikt ich nie zapamiętał, nie sfotografował, nie nagrał za pomocą monitoringu wizyjnego, a kartka ta (jedyna kopia) została w pełni spalona. W takim przypadku administrator może mieć poczucie (przeświadczenie), że dane osobowe zostały skutecznie usunięte. Wszelkie inne formy usuwania, w szczególności w świecie cyfrowym, zbliżają z jakimś prawdopodobieństwem administratora do pewności usunięcia danych osobowych, ale prawie nigdy nie będzie to 100% pewność. 

Przykład usuwania (nieszczanie danych)
Wyobraźmy sobie następującą sytuację: urząd miejski (organ) raz do roku organizuje przeniesienie akt z komórek merytorycznych do archiwum zakładowego. Pracownicy (przepraszam: jeden pracownik) obsługujący archiwum zakładowe, uruchamia coroczną procedurę brakowania akt, dla których minął okres przechowywania (czyli procedura usuwania danych po ustaniu okresu retencji). Powoływana jest komisja, sporządzane są odpowiednie protokoły i przygotowywane są te akta, które będą fizycznie niszczone. Załóżmy, że dokumenty są cięte na cienkie paski w specjalnej niszczarce dokumentów. Tak pocięte paski papieru, są pakowane do worków i następnie przekazywane do zewnętrznej firmy, której zadaniem (zleconym umownie) jest spalanie tych papierowych pasków. Worki niestety, niezgodnie z umową, zamiast na palenisko, trafiają na śmietnik. Przypadkowa (lub nie) osoba, zainteresowana workami z pociętymi paskami na śmietniku, postanawia zabrać taki worek do domu i “pobawić się” w puzzle, układając skutecznie pocięte paski w pierwotne dokumenty.  Taka sytuacja jest oczywistym naruszeniem ochrony danych zgodnie z art. 30 RODO. Nie w tym jednak rzecz. Taki urząd, analizując całe swoje dotychczasowe np. 25 letnie doświadczenie z brakowaniem akt (usuwaniem danych), stwierdził, że w 99 % przypadków takich operacji, przebiegły one pomyślnie. To jedno zdarzenie , spowodowało spadek wskaźnika ze 100% na 99%. Urząd (organ) posiada informację, że szansa poprawnego usuwania danych (brakowania akt papierowych) wynosi 99%. Co oznacza, że nie ryzyko, a prawdopodobieństwo ujawnienia danych osobowych osobie nieuprawnionej, z nieprawidłowo przeprowadzonego procesu brakowania akt, wynosi 1 %. Jakie będzie więc ryzyko dla podmiotów danych? Odpowiedź na to pytanie zależna będzie od wielu innych czynników takich jak: rodzaj (kategorie) danych osobowych znajdujących się w brakowanych aktach, tego czy na podstawie tych danych można np. zaciągnąć kredyt on line, podszyć się pod tą osobę w internecie, okraść z tożsamości itd. 

Wróćmy jednak do prawidłowego procesu brakowania. Usunięcie danych, nie następuje natychmiast po podjęciu decyzji o usuwaniu. Potrzebny jest pewien okres kiedy nasępi pełne usunięcie danych. W końcu, kiedyś nastąpi ten czas, kiedy dane osobowe na tych nośnikach ulegną takiej modyfikacji, że już nigdy nie da się na podstawie tych danych ustalić tożsamości kogokolwiek. Do czasu, kiedy ktoś nie skonstruuje ultra-nowych technologi np. odzyskiwania nadrukowanych informacji z pulpy papierowej używanej do produkcji kartonów czy papieru toaletowego. Podobnie będzie z danymi elektronicznymi na dysku magmatycznym. Na samym początku wystarcza komenda “usuń” wydana przez użytkownika w systemie, aż po fizyczne zniszczenie dysku po zakończeniu jego eksploatacji. Proces taki może trwać nawet kilka lat, jednak z czasem prawdopodobieństwo niezrealizowania prawa do usunięcia danych będzie malało. A jak powszechnie wiadomo im mniejsze prawdopodobieństwo, tym mniejsze ryzyko, choć nie jest to zależność liniowa 6)

Stanowisko organu CNIL dotyczące blockchain
Całkiem niedawno, bo w dniu 6 listopada 2018 r. dokument pt. “Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data” z bardzo interesującym fragmentem:

However, one of the characteristics of blockchains is that the data registered on a blockchain cannot be technically altered or deleted: once a block in which a transaction is recorded has been accepted by the majority of the participants, that transaction can no longer be altered in practice (…) 

If justified by the purpose of the processing and if a data protection impact assessment (DPIA) has proven that the residual risks are acceptable, personal data may exceptionally be stored on the blockchain (…)

As regards the right to erasure, the right to rectification and the right to object to processing, the CNIL acknowledges the existence of technological solutions that should be evaluated. Without resulting in strictly identical effects, these solutions enable stakeholders to come closer to the GDPR’s compliance requirements

Francuski organ ochrony danych ( www.cnil.fr ) zaznaczył się, że choć administrator korzystający z technologii blockchain nie ma możliwości usunięcia danych, to jednak może on minimalizować ryzyko dla podmiotów danych, związane z ewentualnym wykorzystaniem tych informacji zawartych w blokach / łańcuchu, a administratorzy tacy będą zobowiązani do zastosowania takich środków (technicznych), które zbliżą ich ( come closer ) do zapewnienia zgodności z RODO. pomimo tego, że nie dadzą 100% realizacji prawa do usunięcia danych.

Powyższe stanowisko CNIL można także wyinterpretować z art. 11 ust. 2 RODO. Prawodawca unijny przewidział, że administrator może nie być w stanie zidentyfikować osoby na podstawie posiadanych informacji i jeśli to wykaże, to jest zwolniony z realizacji obowiązków wynikających z art. 15-22, czyli w tym także “prawo do usunięcia danych”. W tym właśnie miejscu idealnie wpisuje się blockchain, czyli zapisanie informacji za pomocą funkcji haszującej. Jeśli administrator posiada tylko hasz (skrót) informacji, to nie jest w stanie stwierdzić czyje dane posiada (przetwarza) do póki ktoś nie dostarczy mu ponownie tych informacji. Oczywiście biorąc pod uwagę stan wiedzy technicznej i dostępną technologię 8)

TSUE a prawo do bycia zapomnianym
Ważnym głosem (choć nie jest to jeszcze orzeczenie Trybunału), w omawianym temacie, jest stanowisko Rzecznika Generalnego – Macieja Szpunara  w sprawie C-507/17 Google / CNIL, w którym wyraził on pogląd 9) , że przepisy o ochronie danych osobowych nie wywierają skutków poza granicami 28 państw członkowskich. Czyli “prawo do usunięcia danych” działa ale nie w 100%, bo nie na całym świecie. Sprawa dotyczy Dyrektywy 95/46, więc będziemy musieli poczekać na sprawę pod “rządami” RODO.

Autor: Tomasz Izydorczyk
Konsultacje: dr Mirosław Gumularz GKK Gumularz Kozik Kancelaria, Maciej Gruszczyński ARIERGARDA.pl

PS Osobiście dla mnie prawo do usunięcia danych może dotyczyć zarówno wszystkich danych osobowych jak i tylko części z informacji dotyczących osoby fizycznej. Patrząc na językowe znaczenie “prawa do bycia zapomnianym” wydaje się, że można je rozumieć jako usunięcie wszystkich danych osobowych przez administratora. Choć wyobrażam sobie żądanie podmiotu danych: “Proszę zapomnieć, że wnioskowałem o udzielnie mi pożyczki” albo “Proszę zapomnieć mój stary adres zamieszkania“.

1) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (link do wersji ujednoliconej tutaj)
2) P. Litwiński/Barta/Kawecki w: P. Litwiński (red.) P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Komentarz, C.H. Beck, Warszawa 2018 r. s. 400;
A. Nerka w: M. Sakowska-Baryła (red) Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, C.H.Beck, Warszawa 2018 Stan prawny 1.08.2018 r. s. 241;
M. Czerniawski w: E. Bielak-Jomaa (red.), D Lubacz (red)s. RODO Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Wolters Kluwer, Warszawa 2018 r. s 526
3) źródło: ECLI:EU:C:2014:317, treść wyroku dostępna na stronach http://curia.europa.eu pod adresem tutaj
4)  Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (link tutaj)
5) Wniosek o usunięcie danych nie zawsze będzie skuteczny. Choć przeciętny obywatel uważa, że ma prawo do usunięcia danych (bo w końcu w każdej polityce prywatności jest o tym informowany), to jednak do póki administrator legitymuje się ważna podstawą prawną i prawnie nieusprawiedliwionym celem przetwarzania, dane takiej osoby nie będę tak szybko usunięte. Wszystko zależny od okresów retencji tych danych ustalonych przez administratora na podstawie celów i podstawi prawnych przetwarzania.
6) Zależność linowa np. obniżenie prawdopodobieństwa np. o 1% oznacza obniżenie ryzyka o 1%. Jeśli takiej zależności 1:1 nie ma, to znaczy, że jakąś inną funkcją matematyczną można opisać relację tych dwóch zmiennych.
7) Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data, 6.11.2018 r. (link kliknij tutaj)
8) Więcej na temat funkcji haszującej, jej właściwości i bezpieczeństwa tego środka można przeczytać w publikacji pod red. M. Gumularz, P. Kozik. “Ochrona danych osobowych w marketingu i sprzedaży” C.H. Beck, Warszawa 2019 r.
9) “Nie można zatem uznać, że obowiązek usuwania linków do wyników wyszukiwania dotyczy również zapytań kierowanych spoza obszaru Unii Europejskiej. Rzecznik generalny nie jest bowiem zwolennikiem przyjęcia tak szerokiej wykładni unijnych przepisów, aby wywierały one skutki poza granicami 28 państw członkowskich” (link kliknij tutaj)