Chodzi o takie informacje osobowe, które nie są usunięte nieodwracalnie i można je odzyskać. Do ich przetwarzania trzeba stosować zasady wynikające z unijnego rozporządzenia
Po wejściu w życie RODO i innych wynikających z niego zmian prawnych problemem staje się usuwanie danych z systemów teleinformatycznych. Należy bowiem pamiętać, że brak podstawy prawnej do przetwarzania danych osobowych oznacza nie tylko konieczność usunięcia dokumentów, ale również odpowiednich danych np. w systemie kadrowo-płacowym. W praktyce więc usunięcie teczki akt osobowych, list płac i innych dokumentów dotyczących byłego pracownika po upływie 10 lat liczonych od końca roku kalendarzowego, w którym rozwiązano z nim stosunek pracy, będzie niewystarczające. W takim przypadku usunąć powinno się także dane dotyczące tego pracownika z systemu teleinformatycznego, gdyż w nim jest przecież i umowa o pracę, i świadectwo pracy pracownika oraz wiele innych danych, również dotyczących płac. Co gorsza, wiele danych występuje w zbiorczych zestawieniach i raportach, co oznacza, że ich usunięcie może stanowić negatywne konsekwencje dla pozostałych danych z danego dokumentu czy zestawienia. Stąd dostawcy oprogramowania już się zastanawiają, jak prawidłowo wypełnić obowiązki wynikające z RODO związane z usuwaniem danych osobowych.
Rozwiązaniem tego problemu jest anonimizacja danych, czyli takie działanie, którego skutkiem będzie niemożliwość zidentyfikowania osób, których te dane dotyczą. Zgodnie ze stanowiskiem UODO z 17 lipca 2019 r. trwała anonimizacja danych jest działaniem dopuszczalnym na gruncie RODO. Urząd przestrzega jednak, że czym innym jest pseudonimizacja, którą zgodnie z RODO jest „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Jest to więc sytuacja, w której danych osobowych nie można co prawda połączyć z konkretną osobą, ale przy użyciu dodatkowych informacji byłoby to już możliwe. Pseudonimizacja jest zatem procesem odwracalnym przy użyciu dodatkowych informacji, oddzielnie przechowywanych, a anonimizacja równoważąca zniszczenie danych musi być trwała, czyli nieodwracalna. UODO zwraca uwagę, że dane podlegające pseudonimizacji pozostają nadal danymi osobowymi, do których stosuje się wszystkie reguły wynikające z RODO.
Stanowisko UODO z 17 lipca 2019 r. w sprawie anonimizacji danych osobowych
DGP: Czy usunięcie danych osobowych z systemu teleinformatycznego w przypadku konieczności zniszczenia dokumentacji pracowniczej może mieć postać trwałej anonimizacji, a nie usunięcia danych z systemu, które mogłoby zagrozić stabilności systemu z punktu widzenia innych przechowywanych w nim danych?
Odpowiedź UODO: Zgodnie z motywem 26 RODO „zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych (…) nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych”. Uznać zatem należy, że dokonanie anonimizacji jest dopuszczalne.
Biorąc pod uwagę, że w opisanym [w pytaniu DGP – red.] procesie nie dochodzi jednak do usunięcia danych z systemu, pojawia się wątpliwość, czy wskazana w pytaniu anonimizacja danych stanowi w istocie pseudonimizację. A zatem przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 5 pkt 5 RODO). Stosownie do motywu 26 RODO spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie.
Pseudonimizacja jest więc procesem w pełni odwracalnym, a dane osobowe poddane takiej modyfikacji pozostają danymi osobowymi w rozumieniu przepisów RODO. Dane spseudonimizowane należy przechowywać w innym miejscu niż dane, które pozwalają na identyfikację konkretnych osób. Dane spseudonimizowane w dalszym ciągu stanowić będą dane osobowe, co do których administrator musi legitymować się przesłanką uprawniającą do przetwarzania danych.