Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy kosmetyczki. Właściciel aplikacji jest jednocześnie właścicielem danych osobowych osób zakładających konto w aplikacji (dla tak zdefiniowanego celu). RODO, obok m.in. przedstawiania użytkownikom aplikacji wielostronicowych obowiązków informacyjnych, prowadzenia rejestrów czynności przetwarzania danych osobowych, udowodnienia przestrzegania przepisów i zasad RODO określonych zgodnie z zasadą rozliczalności, etc., nakłada na właściciela aplikacji – administratora danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych celem zapewnienia stopnia bezpieczeństwa przetwarzania danych osobowych odpowiedniego do ryzyka naruszenia praw lub obowiązków osób fizycznych. Ponadto właściciel aplikacji – administrator danych, musi być w ciągłej gotowości w razie, gdyby użytkownik aplikacji zgłosił choćby jedno z szerokiego wachlarza praw mu przysługujących. Niejednokrotnie podczas wykonywania praw przez użytkownika aplikacji może dochodzić do zbiegu dwóch różnych interesów – jego samego oraz właściciela aplikacji – administratora danych.
Wyobraźmy sobie zgłoszone przez użytkownika aplikacji żądanie usunięcia danych osobowych na podstawie art. 17 RODO, w sytuacji, gdy właściciel aplikacji – administrator danych tworzył i przechowywał kopie zapasowe aplikacji w których znajdują się dane osobowe żądającego usunięcia danych użytkownika aplikacji.
Chwila na szczegóły. Jak wiemy, kopie zapasowe są bazami danych, które pozwalają na odtworzenie danych w nich zapisanych w sytuacji, gdy dane zostaną utracone lub uszkodzone. Można wykonać kopię zapasową nie tylko z danych zebranych w aplikacji, ale także danych zapisanych na dysku, serwerze, stacji, w systemie teleinformatycznym, czy w systemie operacyjnym. Tworzenie i przechowywanie kopii zapasowych jest częstym środkiem technicznych stosowanym przez administratorów danych celem zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych. Co do zasady, kopie zapasowe mogą być przechowywane do czasu, kiedy trwa podstawa prawna ich przetwarzania. W przypadku braku podstawy prawnej dane osobowe z kopii zapasowych powinny być usunięte lub zanonimizowane.
Prawo do usunięcia danych z art. 17 RODO, przysługuje osobie, której dane dotyczą m.in. w sytuacji, gdy ustał cel przetwarzania, wniesiono sprzeciw wobec przetwarzania lub gdy dane osobowe były przetwarzane niezgodnie z prawem. Ponadto jeżeli administrator upublicznił dane osobowe innemu administratorowi, jest zobowiązany do poinformowania innych administratorów o żądaniu celem jego realizacji, tj. usunięcia danych, ich kopii i replik przez administratorów, którzy uzyskali dane. Przy wykonywaniu tego ostatniego obowiązku, administrator danych bierze pod uwagę dostępną technologię i koszt realizacji, zaś jego obowiązki powinny posiadać miano rozsądnego działania.
W opisanej sytuacji dochodzi do zbiegu prawa i interesu osoby fizycznej – użytkownika aplikacji z interesem właściciela aplikacji – administratora danych, który zobowiązany jest do zapewnienia dostępności danych i odporności systemów oraz usług polegających na przetwarzaniu danych, zdolności szybkiego przywracania i dostępu do danych w razie incydentu, integralności kopii zapasowej, w tym obowiązku zapewnienia standardów technologicznych poprzez ograniczenia dostępu do danych nieuprawnionym osobom. Ponadto może dojść do sytuacji, gdy technicznie właściciel aplikacji – administrator danych nie będzie mógł dokonać selektywnego usunięcia danych osobowych z kopii zapasowej zgodnie z żądaniem, zaś koszty jakie przy tym poniesie okażą się zbyt duże. Właściciel aplikacji – administrator danych staje przed wyzwaniem, którego stawką może być zapłata kary administracyjnej w wysokości do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, czy zapłata odszkodowania użytkownikowi aplikacji za naruszenie jego praw.
W takiej sytuacji, zgodnie z opinią Ministerstwa Cyfryzacji wyrażoną w RODO Poradnik dla sektora fintech, przy ustaniu podstawy prawnej przetwarzania danych osobowych utrwalonych w kopii zapasowej, administrator ma obowiązek ich usunięcia lub zanonimizowania wtedy, gdy jest to możliwe przy uwzględnieniu ograniczeń wynikających z uwarunkowań technologicznych kopii zapasowych oraz ryzyka naruszenia praw i wolności wszystkich osób, których dane osobowe są przechowywane w kopii zapasowej. Co to oznacza dla właściciela aplikacji – administratora danych, który stworzył kopie zapasowe z danymi osobowymi podczas, gdy otrzymał żądanie usunięcia danych osobowych od użytkownika aplikacji? Właściciel aplikacji – administrator danych może przetwarzać dane z kopii zapasowej do czasu usunięcia całej kopii zapasowej, której dokona z powodu ustania podstaw przetwarzania wszystkich zawartych w niej danych osobowych lub, gdy kopia zapasowa przestanie być mu potrzebna. Do tego momentu kopia zapasowa powinna być jedynie przechowywana, bez możliwości jej wykorzystywania, z wyjątkiem sytuacji, kiedy ma zostać użyta zgodnie z celem dla którego została stworzona tj. z powodu konieczności przywrócenia danych podczas awarii aplikacji. Ponadto, nie należy zapominać, że stworzenie i przechowywanie kopii zapasowej musi spełniać pewne wymagania, tj. powinna być odpowiednio zabezpieczona zgodnie ze standardami technicznymi, a okres jej przechowywania powinien być wprost określony czy to w przepisach branżowych, czy w wewnętrznych politykach.
