Tylko do przetwarzania

Z chwilą utraty uprawnienia do przetwarzania danych osobowych przedsiębiorca powinien usunąć je także z kopii zapasowej. Rozstrzygnięcie o ile uzasadnione prawniczo, o tyle trudne do stosowania w praktyce.

Kopie zapasowe systemów informatycznych nie stanowiły dotąd przedmiotu nadzwyczajnego zainteresowania prawników. Owszem, w niektórych sektorach pojawiły się regulacje quasi-prawne dotyczące ich sporządzania (np. sektor bankowy), ale takie regulacje to raczej wyjątek niż reguła. Stan ten uległ jednak zmianie w drugiej połowie 2009 roku, wraz z orzeczeniem Naczelnego Sądu Administracyjnego (sygn. I OSK 633/08).

Rozstrzygnięcie dotyczyło przetwarzania danych osobowych w kopii zapasowej systemu informatycznego w sytuacji, gdy odpadła podstawa przetwarzania danych w systemie. Przedstawiając problem bardziej obrazowo: do systemu wprowadzane są dane osobowe, które przedsiębiorca ma prawo przetwarzać (np. dane klientów, pracowników etc.). W ramach backupowania dane zapisywane są w kopii zapasowej. Po jakimś czasie znika podstawa przetwarzania danych osobowych w systemie (np. klient wycofuje zgodę na ich przetwarzanie), a więc dane z systemu zostają usunięte. Pozostają natomiast dane zapisane w kopii zapasowej, odzwierciedlającej historyczny stan systemu i zapisanych w nich danych. Jako że przetwarzanie to każda czynność dotycząca danych - w tym także ich przechowywanie - administrator przetwarza dane osobowe poprzez przechowywanie kopii zapasowej. Pytanie do sądu brzmiało więc: czy administrator może nadal przechowywać kopię bezpieczeństwa i w razie potrzeby odtworzyć ją w przyszłości?

Odpowiedź na to pytanie nie była prosta. Zdroworozsądkowo należałoby przyjąć, że taka możliwość powinna istnieć, o ile po ewentualnym odtworzeniu kopii bezpieczeństwa administrator usunie dane, których przetwarzać już nie może. Czytając literalnie przepisy można było twierdzić, iż takie działanie jest zakazane (przepisy mówią bowiem o konieczności posiadania interesu prawnego, a takowego administrator co do zasady nie posiada). I do tego drugiego toku rozumowania przychylił się Naczelny Sąd Administracyjny. Sąd stwierdził, iż z chwilą utraty uprawnienia do przetwarzania danych przedsiębiorca powinien usunąć je także z kopii zapasowej. Sprawa o ile uzasadniona prawniczo (można polemizować z argumentacją sądu, ale ma ona swoją logikę), o tyle trudna do stosowania w praktyce. Z czym się bowiem wiąże takie rozstrzygnięcie sądu?

Usuwanie danych

Zgodnie z art. 35 ustawy o ochronie danych osobowych, w razie utraty prawa do przetwarzania danych osobowych przedsiębiorca powinien je usunąć bez zbędnej zwłoki. Bez zbędnej zwłoki, czyli w normalnym toku czynności, w czasie niezbędnym na wykonanie takich działań. Dociekliwi zapytają: czyli dokładnie kiedy? Oczywiście, to zależy. Jeśli jesteśmy w stanie pokazać, że taka czynność wymagała 2 dni roboczych, być może jest to racjonalny, normalny tok czynności.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200