Usuwanie danych cyfrowych zgodnie z prawem

Konieczność nieodwracalnego usunięcia danych cyfrowych może wynikać bądź to z powszechnie obowiązujących przepisów prawa, bądź też z postanowień zawieranych w obrocie gospodarczym umów handlowych.

Tym samym, wobec zróżnicowania źródeł tego obowiązku, różne są też dotyczące go rygory, tryb po-stępowania, a wreszcie samo rozumienie pojęcia „usunięcia” danych.

Jednym z przykładów regulacji statuującej wymóg usunięcia danych w określonych przepisami prawa przypadkach jest regulacja z zakresu ochrony danych osobowych z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej jako – u.o.d.o. lub ustawa).

Analizując tematykę usunięcia danych cyfrowych w kontekście ochrony danych osobowych, już na wstępie warto wskazać, że pojęcie usunięcia danych zostało zdefiniowane w przepisach ustawy. I tak, zgodnie z treścią przepisu art. 7 pkt 3) u.o.d.o. przez usuwanie danych rozumie się „zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą”.

Samo usuwanie stanowi natomiast, stosownie do treści przepisu art. 7 pkt 2) u.o.d.o., czynność przetwarzania danych osobowych, co powoduje, że proces usuwania danych osobowych przetwarzanych w formie elektronicznej podlega w całości rygorom ustawy.

Wobec powyższego pamiętać trzeba, że podstawowymi, wyrażonymi w treści przepisu art. 26 ust. 1 u.o.d.o., zasadami przetwarzania danych osobowych jest z jednej strony zasada dopuszczalności przetwarzania tych danych wyłącznie w przypadkach określonych przepisami prawa – a więc istnienia stosownej ku temu przesłanki ustawowej i co istotne, w zakresie uzasadnionym celem ich przetwarzania. Wyraźnie bowiem przepis art. 26 ust. 1 pkt 4) u.o.d.o. wskazuje, że dane mogą być przez administratora przechowywane „nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania”. Tym samym gdy brak jest przesłanki do przetwarzania danych, w tym gdy już wygasła lub osiągnięty został cel przetwarzania, dane osobowe winny zostać usunięte. Co ważne, nakaz usunięcia danych osobowych może zostać na administratora nałożony mocą decyzji Generalnego Inspektora Danych Osobowych, wydanej w toku kontroli w przedmiocie zgodności z prawem przetwarzania danych osobowych.

Przyczynę powstania obowiązku usunięcia danych osobowych, w tym przetwarzanych w formie elektronicznej, może również stanowić sprzeciw lub żądanie zaprzestania przetwarzania danych, zgłoszone przez osobę, której dane dotyczą. Warto odnotować jednak, że uprawnienie do zgłoszenia tego rodzaju żądań ustawodawca limituje do wąskiej grupy, szczegółowo opisanych w przepisach prawa, przypadków.

Przetwarzanie danych osobowych bez podstawy prawnej, w tym przechowywanie danych pomimo wynikającego z przepisów obowiązku ich usunięcia, stanowić może przestępstwo stypizowane w treści przepisu art. 49 ust. 1 u.o.d.o. Usunięcie danych jest więc w tym przypadku obwarowane sankcjami karnymi, co bez wątpienia podnosi doniosłość regulacji z tego zakresu.

Nie można jednak wykluczyć możliwości wystąpienia przez osobę, której nieusunięte dane dotyczą, z roszczeniami wobec administratora. Nadto, odnotować trzeba, że w przyjętym w tym roku rozporządzeniu UE przetwarzanie danych bez podstawy prawnej, a w tym ich nieusunięcie mimo istniejącej ku temu podstawy, zagrożone będzie sankcją administracyjną w postaci nałożenia na administratora kary pieniężnej w wysokości do 20.000.000 EUR lub 4% rocznego światowego obrotu.

Na drugim biegunie w praktyce obrotu mamy do czynienia z przypadkami, gdy kwestia usunięcia danych jest przedmiotem zobowiązania cywilnoprawnego, wynikającego z zawartej umowy handlowej. Przykładem tego rodzaju umów są w szczególności umowy o zachowaniu poufności (ang. non-disclosure agreement, w skrócie NDA), zawierane coraz częściej w polskich warunkach gospodarczych, a będące od wielu lat standardem w transakcjach przeprowadzanych na rynkach zagranicznych i międzynarodowych.

Stałym elementem umów o zachowaniu poufności są postanowienia statuujące konieczność wydania stronie ujawniającej przez stronę otrzymującą, po ustaniu współpracy stron, niezależnie od przyczyny tego zdarzenia, przekazanej dokumentacji zawierającej informacje poufne, a także usunięcia wszelkich kopii tych informacji, w tym w szczególności mających postać danych elektronicznych.

Co istotne, standardem w przypadku umów typu NDA jest zabezpieczenie wykonania wynikających z nich zobowiązań karami umownymi, które mogą zostać nałożone na stronę naruszającą. W przypadku zastrzeżenia tego rodzaju kary, nieusunięcie informacji poufnych po ustaniu współpracy stron naraża więc stronę otrzymującą na ryzyko obciążenia karą umowną przez kontrahenta.

Zauważyć trzeba również, że nieusunięcie informacji poufnych zwiększa ryzyko ich wycieku, naraża na ryzyko pociągnięcia do odpowiedzialności strony otrzymującej także w przypadku, gdy kary umowne nie zostały przez strony zastrzeżone.

Nawet bowiem, gdy strona otrzymująca ponosi odpowiedzialność wobec kontrahenta ujawniającego informacje poufne na zasadach ogólnych, określonych w Kodeksie cywilnym, w przypadku wycieku tych informacji, ryzyko powstania szkody w majątku strony ujawniającej niebezpiecznie wzrasta.

Tym samym niebezpiecznie wzrasta też ryzyko pociągnięcia do odpowiedzialności strony otrzymującej, winnej wycieku z uwagi na niewykonanie zobowiązania do usunięcia danych.

W obu opisywanych przypadkach proces usunięcia danych winien odbywać się w warunkach zapewniających rzeczywistą utratę przez osoby dysponujące nośnikami zawierającymi dane, możliwości odczytania tych danych, bądź ich odtworzenia. Dlatego też, z uwagi na stały rozwój technologii odzyskiwania danych, również ich usunięcie warto powierzyć podmiotom wyspecjalizowanym, gwarantującym prawidłowość wykonania tej operacji.

Z jednej strony bowiem minimalizuje to ryzyka, w tym w obszarze odpowiedzialności karnej, w przypadku gdy usunięciu podlegać mają dane osobowych, z drugiej – zapewnia odpowiednie i użyteczne dowody należytego wykonania zobowiązania, tj. w szczególności wiarygodne protokoły usunięcia informacji, potwierdzające prawidłowe usunięcie informacji poufnych na gruncie umów typu NDA.

2018-02-07T15:58:30+00:002016/12/07|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <