Prawo do bycia zapomnianym brzmi efektownie, jak coś z filmu o prywatności, a w praktyce jest po prostu prawem klienta do żądania usunięcia jego danych i Twoim obowiązkiem, żeby w określonych sytuacjach to żądanie spełnić. W firmie odszkodowawczej temat jest ciekawszy niż w wielu innych branżach, bo z jednej strony przetwarzasz dane wrażliwe, które trzeba chronić, a z drugiej masz często obowiązek albo prawo część danych zachować, mimo że klient chciałby, żeby zniknęły. Ta gra między usuwaniem a zatrzymywaniem bywa myląca, więc warto ją sobie poukładać.
Zastrzegam jak zwykle, że nie jestem prawnikiem i to nie jest porada prawna dopasowana do Twojej sytuacji. To praktyczny obraz tematu, który ma Ci pomóc zrozumieć, o co chodzi, i nie popełnić najczęstszych błędów. W konkretnych, trudnych przypadkach warto skonsultować się z kimś, kto zna się na rzeczy, bo diabeł tkwi w szczegółach, a te zależą od konkretnej sprawy.
Co właściwie oznacza to prawo
Prawo do usunięcia danych daje osobie, której dane przetwarzasz, możliwość zażądania, żebyś je usunął. To część szerszego zestawu praw, które RODO przyznaje ludziom w związku z ich danymi. Ważne jest jednak jedno zastrzeżenie, o którym często się zapomina, a które zmienia cały obraz. To prawo nie jest bezwzględne. Nie oznacza, że na każde żądanie musisz natychmiast wykasować wszystko, co masz. Oznacza, że musisz usunąć dane tam, gdzie nie masz już podstawy, żeby je trzymać.
To rozróżnienie jest kluczowe, bo wielu przedsiębiorców albo panikuje na myśl, że każdy klient może kazać im skasować wszystko, albo przeciwnie, lekceważy temat, myśląc, że i tak nie muszą nic usuwać. Prawda leży pośrodku. Są sytuacje, w których musisz usunąć dane, i są takie, w których wolno Ci albo wręcz musisz je zachować. Zrozumienie, kiedy zachodzi jedno, a kiedy drugie, to sedno całego tematu, i wokół tego zbudujemy resztę.
Kiedy klient może żądać usunięcia
Klient może zażądać usunięcia swoich danych w kilku typowych sytuacjach. Wtedy, gdy dane nie są już potrzebne do celów, dla których je zebrałeś. Wtedy, gdy cofa zgodę, na której opierało się przetwarzanie, i nie ma innej podstawy, żeby dane trzymać. Wtedy, gdy dane były przetwarzane niezgodnie z prawem. I w kilku innych, bardziej szczególnych przypadkach.
W praktyce firmy odszkodowawczej najczęstsza sytuacja to klient, którego sprawa dawno się zakończyła i który prosi, żeby usunąć jego dane, bo nie widzi już powodu, żebyś je trzymał. To uzasadnione żądanie, jeśli faktycznie nie masz już podstawy do zatrzymania tych danych. Ale, i tu wracamy do wyjątków, samo zakończenie sprawy nie znaczy automatycznie, że wolno Ci albo trzeba wszystko skasować. Bardzo często istnieją powody, dla których część danych musisz jeszcze zachować, i o tym za chwilę.
Kiedy nie musisz, a czasem nie wolno Ci usuwać
To jest część, którą trzeba dobrze zrozumieć, żeby nie wpaść w kłopoty z żadnej ze stron. Są sytuacje, w których mimo żądania klienta nie musisz, a czasem wręcz nie powinieneś usuwać danych. Najczęstszy powód to obowiązki wynikające z innych przepisów, na przykład obowiązki podatkowe czy księgowe, które każą Ci przechowywać określone dokumenty przez konkretny czas. Dopóki ten czas nie minął, musisz te dane zachować, niezależnie od życzenia klienta.
Drugi ważny powód to ewentualne roszczenia. Jeśli istnieje możliwość, że sprawa jeszcze wróci, że pojawi się spór albo że będziesz musiał czegoś dochodzić lub przed czymś się bronić, masz podstawę, żeby zachować dane potrzebne do tego celu. Usunięcie danych, które mogą okazać się niezbędne w razie sporu, działałoby na Twoją niekorzyść, a przepisy to uwzględniają. Prawo do bycia zapomnianym nie służy do tego, żeby ktoś zatarł ślady przed dochodzeniem swoich albo Twoich praw.
Dlatego w odpowiedzi na żądanie usunięcia nie zawsze mówisz po prostu tak. Czasem usuwasz część danych, a część zachowujesz na wyraźnie określonej podstawie, i wyjaśniasz klientowi dlaczego. To nie jest wykręt ani ignorowanie jego praw, tylko zgodne z przepisami wyważenie jego prawa do usunięcia z Twoimi obowiązkami i uzasadnionymi interesami. Kluczowe jest, żebyś umiał wskazać konkretną podstawę zatrzymania danych, a nie trzymał ich po prostu na wszelki wypadek bez powodu.
Jak długo w ogóle trzymać dane
Blisko tematu usuwania leży pytanie o retencję, czyli o to, jak długo w ogóle powinieneś trzymać dane, niezależnie od żądań klienta. To dobra praktyka, żeby mieć na to jakąś politykę, nawet prostą, zamiast trzymać wszystko w nieskończoność, bo tak wygodniej. Dane, które trzymasz bez powodu i bez końca, są nie tylko niezgodne z zasadą ograniczenia przechowywania, ale też stanowią niepotrzebne ryzyko, bo im więcej danych masz, tym więcej może wyciec.
Rozsądne podejście to ustalenie, jak długo dane danego rodzaju są Ci potrzebne albo jak długo musisz je trzymać z mocy przepisów, i usuwanie ich po tym czasie. Dzięki temu nie gromadzisz góry starych, niepotrzebnych danych, a jednocześnie zachowujesz to, co musisz, przez wymagany okres. To porządkuje temat i sprawia, że gdy przychodzi żądanie usunięcia, masz już jasność, co i jak długo trzymasz, zamiast zastanawiać się za każdym razem od zera. Ustalona raz polityka retencji oszczędza wielu dylematów.
Usunięcie ma być realne
Gdy już usuwasz dane, ważne, żeby usunięcie było prawdziwe, a nie pozorne. Ukrycie rekordu, oznaczenie go jako nieaktywnego czy przeniesienie do innej zakładki to nie jest usunięcie. Dane, które dalej istnieją, tylko schowane, nie zostały usunięte w rozumieniu przepisów, a Ty, mówiąc klientowi, że je skasowałeś, mijałbyś się z prawdą. Usunięcie oznacza, że danych faktycznie nie ma, że nie da się ich odczytać ani odtworzyć w normalny sposób.
Dlatego warto upewnić się, że narzędzie, którego używasz, faktycznie kasuje dane, a nie tylko je ukrywa. To pytanie, które warto zadać dostawcy systemu. Czy funkcja usunięcia trwale kasuje dane, czy tylko chowa rekord przed wzrokiem. Różnica jest zasadnicza, bo od niej zależy, czy realizując żądanie klienta, faktycznie robisz to, co obiecujesz, czy tylko udajesz. Poważny system daje możliwość prawdziwego, trwałego usunięcia danych, i to jest cecha, której warto wymagać.
Jak obsłużyć żądanie usunięcia
Gdy dostajesz od klienta żądanie usunięcia danych, warto mieć na to prosty, powtarzalny sposób, zamiast improwizować za każdym razem. Zacznij od potwierdzenia, że żądanie do Ciebie dotarło, i od ustalenia, kogo dokładnie i jakich danych dotyczy, żeby mieć pewność, że wiesz, o co chodzi, i że to faktycznie ta osoba. Następnie sprawdź, czy i w jakim zakresie masz podstawę do zachowania części danych, o czym pisałem wyżej.
Potem realizujesz to, co należy zrealizować, czyli usuwasz te dane, których nie masz podstawy trzymać, a zachowujesz te, które musisz albo możesz zatrzymać, i informujesz o tym klienta. Jasno wyjaśniasz, co usunąłeś, a co i dlaczego zostaje. Klient ma prawo wiedzieć, jak jego żądanie zostało załatwione, a przejrzysta odpowiedź buduje zaufanie i zamyka temat, zamiast zostawiać niedomówienia. Cała ta procedura, raz ustalona, staje się rutyną, a rutyna jest tu Twoim sprzymierzeńcem, bo eliminuje chaos i przypadkowość.
Termin na reakcję
Na żądania związane z danymi, w tym na żądanie usunięcia, przepisy przewidują określony termin reakcji. Nie możesz więc odkładać sprawy w nieskończoność ani ignorować jej, licząc, że klient zapomni. Warto działać sprawnie, potwierdzić przyjęcie żądania i zająć się nim w rozsądnym czasie, a nie na ostatnią chwilę.
Sprawność ma tu podwójną wartość. Po pierwsze, spełniasz wymóg dotyczący terminu. Po drugie, szybka i konkretna reakcja robi na kliencie dobre wrażenie, pokazując, że traktujesz jego prawa poważnie. Klient, który widzi, że jego żądanie zostało załatwione sprawnie i uczciwie, ma o Tobie lepsze zdanie, nawet jeśli akurat się z Tobą rozstaje. A dobre wrażenie na pożegnanie potrafi zaowocować później, choćby poleceniem, bo ludzie pamiętają, jak zostali potraktowani na końcu. Sposób, w jaki żegnasz klienta, bywa równie ważny jak to, jak go witałeś.
Co z kopiami zapasowymi
Tu pojawia się praktyczny problem, o którym łatwo zapomnieć. Jeśli robisz kopie zapasowe, a powinieneś, to usunięte dane mogą wciąż istnieć w tych kopiach. To normalne i samo w sobie nie jest naruszeniem, bo kopie zapasowe służą odtworzeniu danych w razie awarii, a nie bieżącemu przetwarzaniu. Ważne jest, żeby mieć świadomość tego mechanizmu i podejść do niego rozsądnie.
W praktyce oznacza to, że dane usunięte z bieżącego systemu z czasem znikają też z kopii, w miarę jak stare kopie są zastępowane nowymi. Nie musisz zwykle przekopywać wszystkich archiwalnych kopii, żeby wyciąć z nich pojedynczy rekord, bo to bywa technicznie nieproporcjonalne. Warto natomiast rozumieć ten temat i w razie potrzeby umieć wyjaśnić, jak wygląda u Ciebie sytuacja z danymi w kopiach zapasowych. To jeden z tych szczegółów, w których warto oprzeć się na wiedzy dostawcy systemu i, gdy sprawa jest istotna, na konsultacji z kimś, kto zna się na rzeczy.
Usuwanie a Twoi podwykonawcy
Jeśli powierzyłeś dane innym podmiotom, na przykład dostawcy oprogramowania czy biuru rachunkowemu, to usunięcie danych u Ciebie nie zawsze oznacza automatycznie ich usunięcie u nich. Dlatego przy realizacji żądania usunięcia warto pomyśleć o całym łańcuchu, a nie tylko o własnym systemie. Umowa powierzenia, o której warto zadbać przy każdym takim partnerze, powinna regulować także kwestię usuwania danych na Twoje polecenie.
W praktyce chodzi o to, żebyś wiedział, gdzie wszędzie trafiły dane danej osoby, i mógł zadbać o to, żeby zostały usunięte tam, gdzie trzeba. To kolejny powód, żeby mieć uporządkowaną listę podmiotów, którym powierzasz dane, bo bez niej łatwo o którymś zapomnieć. Realizacja prawa do usunięcia jest pełna tylko wtedy, gdy obejmuje wszystkie miejsca, w których dane faktycznie się znajdują, a nie tylko to jedno, najbardziej widoczne. Porządek w relacjach z podwykonawcami procentuje więc także tutaj.
Dokumentuj to, co robisz
Warto zachować ślad tego, że żądanie usunięcia wpłynęło i jak zostało załatwione. Nie chodzi o biurokrację dla samej biurokracji, tylko o to, żebyś w razie pytania mógł wykazać, że potraktowałeś sprawę poważnie i zgodnie z przepisami. Zapis, że dana osoba zażądała usunięcia w konkretnym dniu, że usunąłeś to, co należało, a zachowałeś to, co musiałeś, z podaniem powodu, jest Twoim zabezpieczeniem.
Taki ślad przydaje się rzadko, ale gdy się przyda, bywa bezcenny. Gdyby kiedyś pojawiła się skarga albo pytanie, czy dobrze obsłużyłeś żądanie klienta, gotowa dokumentacja rozstrzyga sprawę na Twoją korzyść, zamiast zostawiać Cię z tłumaczeniem się z pamięci. To ta sama zasada, co przy innych obowiązkach związanych z ochroną danych. Lepiej mieć prosty zapis, którego nigdy nie użyjesz, niż nie mieć go w momencie, gdy okazałby się potrzebny. Dokumentowanie to tania polisa na spokój.
Częste błędy
Kilka pomyłek wraca w tym temacie regularnie. Pierwsza to skrajność w jedną stronę, czyli usuwanie wszystkiego na każde żądanie, bez sprawdzenia, czy nie masz podstawy albo obowiązku zachowania części danych. To może narazić Cię na kłopoty, jeśli skasujesz coś, co powinieneś był zatrzymać. Druga to skrajność w drugą stronę, czyli ignorowanie żądań albo trzymanie wszystkiego w nieskończoność bez żadnej podstawy, co też jest niezgodne z przepisami.
Trzeci błąd to pozorne usuwanie, czyli ukrywanie danych zamiast ich rzeczywistego skasowania. Czwarty to zapominanie o podwykonawcach, przez co dane usunięte u Ciebie żyją dalej gdzie indziej. Piąty to brak jakiejkolwiek dokumentacji, przez co w razie pytania nie masz jak wykazać, że postąpiłeś właściwie. Wszystkie te błędy łączy brak przemyślanego podejścia. Gdy raz ustalisz sobie, jak obsługujesz żądania usunięcia i jaką masz politykę przechowywania, większość z nich odpada sama, bo działasz według jasnych zasad, a nie na wyczucie.
Automatyczne pilnowanie okresów przechowywania
Ustalenie polityki przechowywania to jedno, a jej faktyczne stosowanie to drugie. W praktyce łatwo ustalić, że dane danego rodzaju trzymamy przez określony czas, a potem i tak trzymać je dłużej, bo nikt nie pamięta, żeby je usunąć. Dlatego warto, żeby pilnowanie tych okresów nie zależało wyłącznie od ludzkiej pamięci, która w takich rzeczach zawodzi najczęściej.
Pomocne bywa tu narzędzie, które potrafi przypomnieć albo automatycznie zająć się danymi po upływie ustalonego czasu. Dzięki temu stare dane, których nie masz już podstawy trzymać, nie zalegają w nieskończoność, tylko są usuwane zgodnie z przyjętą polityką. To porządkuje temat i zmniejsza ryzyko, bo im mniej niepotrzebnych starych danych trzymasz, tym mniejsza powierzchnia potencjalnego problemu. Automatyczne pilnowanie retencji zamienia dobrą intencję w realne działanie, które dzieje się samo, zamiast czekać, aż ktoś sobie o nim przypomni.
Warto tylko podejść do automatycznego usuwania rozważnie, bo skasowanych danych zwykle nie da się już odzyskać. Dlatego mechanizm taki powinien być dobrze przemyślany, uwzględniać wyjątki, o których pisałem wcześniej, i najlepiej działać na jasnych, świadomie ustawionych zasadach. Automatyzacja retencji jest cennym wsparciem, ale to Ty decydujesz, co i po jakim czasie znika, a nie ślepy mechanizm działający bez Twojej wiedzy. Dobrze ustawiona odciąża, źle ustawiona może usunąć coś, co jeszcze było potrzebne.
Nie zapominaj o dokumentach i załącznikach
Usuwanie danych kojarzy się zwykle z rekordem klienta w systemie, ale dane osobowe kryją się też w innych miejscach. W wygenerowanych dokumentach, w załącznikach, w zdjęciach, w korespondencji. Realizując żądanie usunięcia albo stosując politykę przechowywania, warto pomyśleć o wszystkich tych miejscach, a nie tylko o głównym rekordzie, bo inaczej usunięcie będzie niepełne.
Ma to znaczenie zwłaszcza w firmie odszkodowawczej, gdzie dokumenty są sercem pracy i gromadzi się ich sporo. Pełnomocnictwa, protokoły, umowy, wszystko to zawiera dane osobowe. Gdy dane są prowadzone w uporządkowanym systemie, w którym dokumenty i załączniki są powiązane ze sprawą, usunięcie jest prostsze, bo wiesz, gdzie wszystko jest, i możesz zająć się całością. Gdy dane i dokumenty są rozsypane po dyskach, mailach i teczkach, kompletne usunięcie staje się trudne, bo trudno mieć pewność, że dotarłeś do każdej kopii. To kolejny argument za tym, żeby trzymać dane w jednym, uporządkowanym miejscu, bo porządek ułatwia nie tylko codzienną pracę, ale i takie sytuacje jak realizacja prawa do usunięcia.
Usuwanie to jedno z wielu praw
Warto widzieć prawo do usunięcia w szerszym kontekście, bo jest ono jednym z kilku praw, które klient ma wobec swoich danych. Obok niego jest prawo dostępu do danych, prawo do ich sprostowania, prawo do przenoszenia i inne. Klient, który prosi o usunięcie, czasem tak naprawdę chce czegoś innego, na przykład dostać kopię swoich danych albo poprawić błędną informację. Warto więc słuchać uważnie, o co dokładnie prosi, zamiast automatycznie sięgać po usunięcie.
Dobra obsługa praw klienta polega na tym, żeby traktować je spójnie i mieć na każde z nich prosty sposób reakcji. Gdy masz uporządkowany system i jasne procedury, obsługa tych żądań, choć różnych, opiera się na tej samej podstawie, czyli na wiedzy o tym, jakie dane masz, gdzie się znajdują i na jakiej podstawie je przetwarzasz. Kto ma to poukładane, obsługuje każde z tych praw sprawnie, bo odpowiedzi na najważniejsze pytania ma już gotowe. Kto działa w bałaganie, przy każdym żądaniu zaczyna od zera i improwizuje, co jest wolniejsze i bardziej ryzykowne.
Dlatego temat usuwania danych najlepiej traktować nie w oderwaniu, tylko jako część ogólnego porządku w danych. Firma, która wie, co ma, gdzie to jest i dlaczego, radzi sobie z każdym prawem klienta z łatwością, bo cała reszta jest tylko konsekwencją tego porządku. Prawo do bycia zapomnianym przestaje wtedy budzić lęk, a staje się jedną z wielu rutynowych spraw, które załatwiasz spokojnie, bo masz nad danymi kontrolę. A kontrola nad danymi to ostatecznie kontrola nad spokojem własnym i zaufaniem klientów.
Na koniec
Prawo do bycia zapomnianym nie jest ani straszakiem, który każe Ci kasować wszystko na każde skinienie klienta, ani pustym przepisem, który można zignorować. To wyważone prawo, które daje klientowi możliwość żądania usunięcia danych, a Tobie pozostawia obowiązek zachowania tych danych, które musisz albo masz prawo zatrzymać. Sedno polega na tym, żeby umieć rozpoznać, kiedy usuwasz, a kiedy zachowujesz, i żeby w obu przypadkach działać świadomie, na jasnej podstawie.
Jeśli miałbym wskazać jeden nawyk myślowy, który najbardziej pomaga w tym temacie, to jest nim odruch pytania o podstawę. Za każdym razem, gdy stajesz przed decyzją, czy usunąć, czy zachować dane, zadaj sobie proste pytanie, czy mam podstawę, żeby te dane dalej trzymać. Jeśli tak, wskazujesz ją i zachowujesz to, co trzeba. Jeśli nie, usuwasz. Ten jeden odruch porządkuje większość dylematów, bo sprowadza je do konkretu, zamiast pozwalać im się rozmywać w niepewności. Dane trzymane bez podstawy to ryzyko, a dane usuwane mimo istniejącej podstawy to błąd, więc pytanie o podstawę chroni Cię przed obiema pomyłkami naraz.
Zadbaj o kilka rzeczy, a temat przestanie być kłopotliwy. Miej prostą politykę tego, jak długo trzymasz dane. Upewnij się, że Twój system faktycznie kasuje dane, a nie tylko je ukrywa. Ustal powtarzalny sposób obsługi żądań usunięcia, pamiętaj o podwykonawcach i dokumentuj to, co robisz. Przy tych zasadach realizacja prawa do usunięcia staje się rutynową czynnością, a nie źródłem stresu. A klient, który widzi, że traktujesz jego prawa poważnie i uczciwie, żegna się z Tobą z szacunkiem, nawet jeśli właśnie prosi o usunięcie swoich danych. Bo ochrona danych to nie tylko obowiązek, ale i sposób, w jaki pokazujesz, że szanujesz ludzi, których dane Ci powierzyli.