Dane osobowe nie są przeznaczone do kosza

Każdy zna tę sytuację: skrzynka na listy jest przepełniona i listy reklamowe lądują w koszu, albo nadszedł czas, aby ponownie opróżnić szafkę na dokumenty w firmie. Czy jednak dokumenty, które zawierają dane osobowe (osób trzecich), takie jak nazwisko, adres, numer klienta czy data urodzenia, można po prostu wyrzucić do kosza na śmieci? A jeśli nie, to jak pozbyć się takich dokumentów w sposób zgodny z przepisami o ochronie danych osobowych?

Utylizacja w trakcie eksploatacji

Od czasu wejścia w życie GDPR firmy starają się trzymać wrażliwe dokumenty pod kluczem, aby przestrzegać okresów przechowywania i chronić prawa osób, których dotyczą. Zbyt często jednak dokumenty po okresie przechowywania lądują w koszu na papier, w najlepszym razie podarte, natomiast zewnętrzne nośniki danych z kopiami zapasowymi można często znaleźć w odpadach domowych, nawet w stanie nadającym się do użytku.

Jest to poważna słabość i regularnie daje organom nadzoru powody do skarg, zwłaszcza że pojemnik na papier, który znajduje się na drodze publicznej, można dość łatwo zobaczyć. Takich kłopotów należy oczywiście unikać.

Podstawa prawna

Jedno z praw osoby, której dane dotyczą, na mocy GDPR znajduje się w art. 17 I GDPR, a mianowicie prawo do usunięcia danych lub "prawo do bycia zapomnianym". Po usunięciu danych zgodnie z GDPR nie może być już możliwe uzyskanie dostępu do danych osobowych, których to dotyczy, bez nieproporcjonalnego wysiłku. GDPR nie precyzuje, jak należy to zrobić. Podstawową ideą jest jedynie to, że w każdej chwili powinno być niemożliwe, aby ktokolwiek zwrócił uwagę na przechowywane dane. Nie ma znaczenia, czy dane te można by teoretycznie odzyskać za pomocą specjalnego programu.

Z zasady ograniczenia celu (art. 5 I DSGVO) wynika również, że wszystkie dane, które nie są już potrzebne do pierwotnego celu gromadzenia, muszą zostać usunięte bez odrębnego wniosku osoby, której dane dotyczą. W praktyce ma to miejsce zwłaszcza w przypadku wygaśnięcia obowiązków retencyjnych lub zakończenia stosunku pracy lub relacji z klientem.

Szczególne zasady istnieją w prawie krajowym tylko dla akt papierowych zgodnie z § 35 I 1 BDSG, jeśli usunięcie może nastąpić tylko z nieproporcjonalnym wysiłkiem.

Naruszenie obowiązków w zakresie usuwania danych może skutkować grzywnami w wysokości do 20 mln euro lub 4% całkowitego rocznego obrotu osiągniętego na świecie w poprzednim roku obrotowym.

Ponadto osoby, których dane dotyczą, mają również prawo do przejrzystej informacji o okresie przechowywania danych.

Praktyczna realizacja

W praktyce utylizacja zależy nie tylko od czynnika możliwości, które w zasadzie istnieją, ale także od poziomu bezpieczeństwa, nakładu pracy i dostępnego sprzętu. 

W przypadku kodowania lub łączy wirtualnych potrzebny jest niezawodnie nieodwracalny proces usuwania danych. W przypadku nośników wielokrotnego zapisu należy zastosować specjalne oprogramowanie do usuwania danych, aby zapobiec możliwości ich odzyskania, ale należy to zawsze oceniać indywidualnie, zwłaszcza w odniesieniu do wymaganego wysiłku. W każdym razie nie wystarczy podjąć jedynie środki organizacyjne lub po prostu pozbyć się nośników danych w ich oryginalnej formie. W przypadku dokumentów papierowych, dysków twardych, taśm magnetycznych, pamięci USB, CD-ROM-ów, DVD, optycznych nośników danych, filmów i podobnych nośników danych główną opcją jest ich fizyczne zniszczenie.

W przypadku utylizacji jako wskazówkę można wykorzystać określone normy DIN (DIN EN 15713, DIN 66398 i DIN 66399). Znajdziemy tu klasyfikacje w zakresie poziomów bezpieczeństwa i wymagań dla niszczarek dokumentów. Normy te nie mają jednak charakteru prawa i GDPR nie odnosi się do nich, dlatego służą one jedynie jako orientacja.

Ponadto Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) wydał wytyczną techniczną BSI-TL 03420, która dotyczy usuwania i niszczenia informacji na nośnikach danych wymagających ochrony. To również może pomóc w orientacji.

W praktyce należy zawsze konsultować się z inspektorem ochrony danych lub innymi specjalistami w celu opracowania najbardziej odpowiedniej koncepcji dla własnej firmy.

Usuwanie w prywatnych gospodarstwach domowych

Nawet w kontekście prywatnym, listy reklamowe lub podobne dokumenty zawierające dane osobowe są często wyrzucane zbyt niedbale do odpadów papierowych, nie czyniąc danych osobowych nierozpoznawalnymi. Zawsze pamiętaj, że bardzo łatwo jest dostać się do kosza na śmieci stojącego przy drodze. Lepiej zabezpieczyć się i zniszczyć dokumenty zawierające nazwisko, adres, numer klienta, datę urodzenia lub inne dane.