Ograniczenie przetwarzania

Art. 4 pkt 3 RODO

„Ograniczenie przetwarzania” oznacza oznaczenie przechowywania danych osobowych w celu ograniczenia ich przyszłego przetwarzania.


Tyle jeżeli chodzi o definicję.

O co chodzi z tym ograniczeniem przetwarzania?

Zacznijmy może od samej definicji przetwarzania. Przetwarzanie to najprościej rzecz ujmując przetwarzanie operacja lub kilka operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub ręczny.

Przetwarzaniem może być: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Na temat przetwarzania zob. tutaj

Ograniczenie przetwarzania jest więc rodzajem czynności przetwarzania, a dokładniej rodzajem przechowywania danych w określonym celu. Celem tego rodzaju przechowywania jest ograniczenie przetwarzania danych osobowych.

Należy podzielić pogląd[1], że definicja ograniczenia przetwarzania zawiera w sobie nakaz przechowywania przez administratora dotychczas zebranych danych i brak możliwości dokonywania na nich innych operacji niż przechowywanie.

Bardzo prosto definiuje ograniczenie przetwarzania P. Figielski wskazując, że ograniczenie przetwarzania polega na oznaczeniu danych, np. poprzez dodanie w odpowiednim polu adnotacji np. o tym, że prawidłowość danych jest kwestionowana.

Spróbujmy jeszcze inaczej!

Ograniczenie przetwarzania należy analizować w dwóch aspektach:

  1. Jako uprawnienie organu nadzorczego
  2. Jako prawo podmiotu danych


Uprawnienie organu nadzorczego

Organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych jest uprawniony do wprowadzania czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania.

Prawo podmiotu danych

Osoba, której dane osobowe są przetwarzane (tzw. podmiot danych) ma prawo do ograniczenia przetwarzania (art. 18 RODO).

Kiedy podmiot danych może skorzystać z prawa do ograniczenia danych?

  • Po pierwsze, gdy osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych
  • Po drugie, przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania
  • Po trzecie, gdy administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń
  • Po czwarte, gdy osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą
 

No dobra, ale co dalej?

Jeżeli podmiot danych skorzysta z prawa do ograniczenia danych w jednej z czterech wyżej wymienionych sytuacji, to administrator ma obowiązek dokonać ograniczenia przetwarzania. Co do zasady, jedyną czynność jaką może wykonać administrator to czynność przechowywania w celu ograniczenia przetwarzania.  W pozostałym zakresie dane osobowe wobec których wystosowano żądanie (jedno z 4 wyżej wymienionych) nie mogą podlegać operacjom przetwarzania, za wyjątkiem przechowywania, do czasu weryfikacji ich prawidłowości (pkt 1), legalności ich przetwarzania (pkt 2 i 4)  czy dochodzenia, obrony lub ustalenia roszczeń (pkt 3).

UWAGA!

Wyjątkowo, administrator może dokonywać innych operacji mieszczących się w definicji przetwarzania (np. organizowanie, porządkowanie, modyfikowanie, pobieranie itd.):

  • za ZGODĄ osoby, której dane dotyczą
  • w celu ustalenia, dochodzenia lub obrony roszczeń
  • w celu ochrony praw innej osoby fizycznej lub prawnej
  • z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego
 

W jaki sposób administrator może dokonać ograniczenia przetwarzania?

  • czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania
  • uniemożliwienie użytkownikom dostępu do wybranych danych
  • czasowe usunięcie opublikowanych danych ze strony internetowej
 

Motyw nr 67

Wśród metod pozwalających ograniczyć przetwarzanie danych osobowych mogą się znaleźć między innymi: czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych, lub czasowe usunięcie opublikowanych danych ze strony internetowej. W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie.

 

Źródła:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
  2. M.Susałko, Ograniczenie przetwarzania [w:] RODO w e-commerce, pod red. D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, s. 142-153.
  3. M. Susałko, Prawo do ograniczenia przetwarzania [w:] Meritum. Ochrona danych osobowych, pod red. D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2020, s. 192- 196.
  4. Kiedy powinno się skorzystać z prawa do ograniczenia przetwarzania moich danych osobowych? (online:) https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/when-should-i-exercise-my-right-restriction-processing-my-personal-data_pl, [dostęp: 07.09.2020 r.].
  5. komentarz do art. 4 pkt 3 [w:] RODO. Ogólne Rozporządzenie o ochronie danych osobowych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Wolters Kluwer 2018, Lex.
  6. Figielski, Komentarz do art. 4 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.

[1] komentarz do art. 4 pkt 3 [w:] RODO. Ogólne Rozporządzenie o ochronie danych osobowych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Wolters Kluwer 2018, Lex.