Jeśli realizacja celu przetwarzania danych osobowych przez administratora jest możliwa (albo jest od pewnego momentu możliwa) bez identyfikacji osoby, której dane dotyczą, administrator nie musi przechowywać, uzyskiwać ani przetwarzać dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do obowiązków wynikających z RODO. W takiej sytuacji administrator powinien poinformować o tym osobę, której dane dotyczą, w szczególności jeśli zwróci się ona z żądaniem na podstawie art. 15-20 RODO.
We wskazanych powyżej sytuacjach – gdy jednocześnie administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą – art. 15-20 RODO nie mają zastosowania. Obowiązek realizacji żądania podmiotu danych opartego na jednym z przepisów art. 15-20 RODO (np. żądania uzyskania kopii danych lub usunięcia danych) wystąpi jednak, jeśli osoba, której dane dotyczą, dostarczy administratorowi dodatkowych informacji pozwalających administratorowi ją zidentyfikować.
Kiedy ma zastosowanie omawiany przepis?
„Dane osobowe” w rozumieniu RODO obejmują m.in. dane dotyczące „osoby możliwej do zidentyfikowania”. W praktyce zdarza się zatem, że administrator danych przetwarza wprawdzie dane osobowe, ale nie identyfikuje osoby, której dane osobowe przetwarza, choć, przynajmniej teoretycznie, ma taką możliwość.
Każde przetwarzanie danych osobowych powinno być prowadzone w określonym, ustalonym przez administratora celu. Cel przetwarzania danych osobowych może z kolei powodować, że:
administrator już od samego momentu zebrania danych nie ma potrzeby identyfikować osoby, której dane dotyczą (innymi słowy, realizacja celu przetwarzania przez administratora jest możliwa bez identyfikacji osoby, której dane dotyczą),
administrator od pewnego momentu przetwarzania danych nie ma potrzeby dłużej identyfikować osoby, której dane dotyczą (innymi słowy, realizacja celu przetwarzania przez administratora jest od pewnego momentu możliwa bez identyfikacji osoby, której dane dotyczą).
Omawiany przepis ma zastosowanie do obu tych sytuacji.
Przykładowo administrator, monitorując ruch internetowy na swojej stronie internetowej w celu zapewnienia bezpieczeństwa, stabilnego działania oraz rozwoju strony, obiektywnie rzecz biorąc przetwarza szereg informacji, które można uznać (w pewnych okolicznościach) za dane osobowe użytkowników strony. Są to przede wszystkim informacje związane z ich interakcją ze stroną (np. data, czas czy rodzaj interakcji), w tym numery IP, logi itp. Administrator jednak, aby zrealizować ww. cel przetwarzania, nie potrzebuje identyfikować osób, których dane dotyczą. W szczególności, mówiąc kolokwialnie, nie ma potrzeby „dopasowywać” przetwarzanych przez siebie danych osobowych do oznaczonej z imienia i nazwiska osoby.
Innym przykładem może być przetwarzanie wizerunku osób utrwalanego w ramach prowadzenia CCTV. Administrator przetwarza dane osobowe w postaci wizerunku, jednak nie zawsze „dopasowuje” wizerunek do oznaczonej z imienia i nazwiska osoby (ponieważ cel przetwarzania tego nie wymaga).
Jakie uprawnienie przysługuje administratorowi na podstawie omawianego przepisu?
W sytuacjach wskazanych powyżej, tj. gdy realizacja celu przetwarzania danych osobowych przez administratora:
jest możliwa bez identyfikacji osoby, której dane dotyczą,
jest od pewnego momentu możliwa bez identyfikacji osoby, której dane dotyczą,
administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do obowiązków wynikających z RODO, w szczególności w zakresie realizacji praw osób, których dane dotyczą.
Oznacza to w szczególności, że administrator nie ma obowiązku pozyskiwania jakichkolwiek informacji w celu identyfikacji osoby, której dane dotyczą, w tym bezpośrednio od tej osoby, jeśli takie pozyskanie miałoby być dokonane m.in. wyłącznie na wypadek, gdyby osoba ta zwróciła się w przyszłości do administratora z jednym z żądań, o których mowa w art. 15 – 20 RODO. Podobnie administrator może usunąć część danych pozwalających na identyfikację osoby, której dane dotyczą, jeśli dane te nie są mu już niezbędne do dalszego przetwarzania, biorąc pod uwagę cel przetwarzania.
Wracając do przykładu wskazanego powyżej, art. 11 RODO daje administratorowi prawo nie zbierać informacji potrzebnych do identyfikacji użytkownika strony internetowej (tj. do „dopasowania” danych osobowych do konkretnej osoby „z imienia i nazwiska”), jeśli zbieranie to miałoby być potrzebne m.in. wyłącznie na wypadek, gdyby osoba ta zwróciła się w przyszłości do administratora z jednym z żądań, o których mowa w art. 15 – 20 RODO.
Kiedy i o czym powinien poinformować administrator osobę, której dane dotyczą, w przypadku braku obowiązkuidentyfikacji?
Jeżeli realizacja celu przetwarzania danych osobowych przez administratora:
jest możliwa bez identyfikacji osoby, której dane dotyczą, lub
jest od pewnego momentu możliwa bez identyfikacji osoby, której dane dotyczą,
a jednocześnie administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą.
Wydaje się, że chodzi tu przede wszystkim o poinformowanie osoby o braku możliwości jej identyfikacji (a zatem również o braku możliwości realizacji jej żądania), jeśli osoba ta zgłosi się do administratora z jednym z żądań, o których mowa w art. 15 – 20 RODO.
Wskazane jednak wydaje się również – choćby z uwagi na zasadę transparentności przetwarzania danych – poinformowanie z góry osób, których dane dotyczą, o braku możliwości ich identyfikacji przez administratora w określonych przypadkach. Stosowna informacja może znaleźć się np. w polityce prywatności dostępnej na stronie internetowej.
Brak możliwości identyfikacji a realizacja praw osób, których dane dotyczą
Jeżeli realizacja celu przetwarzania danych osobowych przez administratora:
jest możliwa bez identyfikacji osoby, której dane dotyczą, lub
jest od pewnego momentu możliwa bez identyfikacji osoby, której dane dotyczą,
a jednocześnie administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, art. 15-20 RODO nie mają zastosowania.
Oznacza to, że we wskazanych powyżej przypadkach administrator nie będzie miał obowiązku zrealizować żądania podmiotu danych, opartego na jednym z przepisów art. 15-20 RODO, np. żądania uzyskania kopii danych lub usunięcia danych.
Obowiązek realizacji żądania wystąpi jednak, jeśli osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy artykułów 15-20 RODO dostarczy administratorowi dodatkowych informacji pozwalających administratorowi ją zidentyfikować. W tym kontekście Motyw 57 RODO wskazuje dodatkowo, że:
Administrator nie powinien jednak odmawiać przyjęcia dodatkowych informacji od osoby, której dane dotyczą, by ułatwić jej wykonywanie jej praw.
Innymi słowy, administrator nie może odmówić przyjęcia dodatkowych informacji, chcąc w ten sposób uchylić się od realizacji żądania osoby, której dane dotyczą.
Dodatkowo motyw 57 RODO zawiera istotną praktyczną wskazówkę związaną z przetwarzaniem danych osobowych w internecie w kontekście złożenia wniosku o realizację praw na mocy art. 15-20 RODO w przypadku braku możliwości identyfikacji osoby przez administratora, tj. że:
Weryfikacja tożsamości powinna obejmować cyfrową identyfikację osoby, której dane dotyczą, na przykład poprzez mechanizm uwierzytelniania, taki jak te same dane uwierzytelniające, których osoba, której dane dotyczą, używa, by zalogować się do usług internetowych oferowanych przez administratora.
W praktyce oznacza to, że jeśli administrator np. oferuje usługi internetowe, które dostępne są za pomocą danych uwierzytelniających, np. loginu wybranego przez użytkownika, który może być oznaczeniem fantazyjnym, w szczególności niezawierającym imienia i nazwiska użytkownika (np. „DarkLordCauliflower”), i hasła ustawianego przez użytkownika, to administrator ma obowiązek zrealizować żądanie składane przez użytkownika na podstawie art. 15-20 RODO w odniesieniu do danych powiązanych z danym loginem i hasłem użytkownika, jeśli żądanie uwierzytelnione jest właściwym loginem i hasłem, które użytkownik wykorzystuje do korzystania z usługi. Innymi słowy użytkownik nie musi administratorowi podawać swojego prawdziwego imienia i nazwiska, lecz wystarczy, by prawidłowo podał login (np. „DarkLordCauliflower”) i powiązane z nim hasło.
Komentarz do art. 11
Przetwarzanie niewymagające identyfikacji
Kiedy ma zastosowanie omawiany przepis?
„Dane osobowe” w rozumieniu RODO obejmują m.in. dane dotyczące „osoby możliwej do zidentyfikowania”. W praktyce zdarza się zatem, że administrator danych przetwarza wprawdzie dane osobowe, ale nie identyfikuje osoby, której dane osobowe przetwarza, choć, przynajmniej teoretycznie, ma taką możliwość.
Każde przetwarzanie danych osobowych powinno być prowadzone w określonym, ustalonym przez administratora celu. Cel przetwarzania danych osobowych może z kolei powodować, że:
Omawiany przepis ma zastosowanie do obu tych sytuacji.
Przykładowo administrator, monitorując ruch internetowy na swojej stronie internetowej w celu zapewnienia bezpieczeństwa, stabilnego działania oraz rozwoju strony, obiektywnie rzecz biorąc przetwarza szereg informacji, które można uznać (w pewnych okolicznościach) za dane osobowe użytkowników strony. Są to przede wszystkim informacje związane z ich interakcją ze stroną (np. data, czas czy rodzaj interakcji), w tym numery IP, logi itp. Administrator jednak, aby zrealizować ww. cel przetwarzania, nie potrzebuje identyfikować osób, których dane dotyczą. W szczególności, mówiąc kolokwialnie, nie ma potrzeby „dopasowywać” przetwarzanych przez siebie danych osobowych do oznaczonej z imienia i nazwiska osoby.
Innym przykładem może być przetwarzanie wizerunku osób utrwalanego w ramach prowadzenia CCTV. Administrator przetwarza dane osobowe w postaci wizerunku, jednak nie zawsze „dopasowuje” wizerunek do oznaczonej z imienia i nazwiska osoby (ponieważ cel przetwarzania tego nie wymaga).
Jakie uprawnienie przysługuje administratorowi na podstawie omawianego przepisu?
W sytuacjach wskazanych powyżej, tj. gdy realizacja celu przetwarzania danych osobowych przez administratora:
administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do obowiązków wynikających z RODO, w szczególności w zakresie realizacji praw osób, których dane dotyczą.
Oznacza to w szczególności, że administrator nie ma obowiązku pozyskiwania jakichkolwiek informacji w celu identyfikacji osoby, której dane dotyczą, w tym bezpośrednio od tej osoby, jeśli takie pozyskanie miałoby być dokonane m.in. wyłącznie na wypadek, gdyby osoba ta zwróciła się w przyszłości do administratora z jednym z żądań, o których mowa w art. 15 – 20 RODO. Podobnie administrator może usunąć część danych pozwalających na identyfikację osoby, której dane dotyczą, jeśli dane te nie są mu już niezbędne do dalszego przetwarzania, biorąc pod uwagę cel przetwarzania.
Wracając do przykładu wskazanego powyżej, art. 11 RODO daje administratorowi prawo nie zbierać informacji potrzebnych do identyfikacji użytkownika strony internetowej (tj. do „dopasowania” danych osobowych do konkretnej osoby „z imienia i nazwiska”), jeśli zbieranie to miałoby być potrzebne m.in. wyłącznie na wypadek, gdyby osoba ta zwróciła się w przyszłości do administratora z jednym z żądań, o których mowa w art. 15 – 20 RODO.
Kiedy i o czym powinien poinformować administrator osobę, której dane dotyczą, w przypadku braku obowiązku identyfikacji?
Jeżeli realizacja celu przetwarzania danych osobowych przez administratora:
a jednocześnie administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą.
Wydaje się, że chodzi tu przede wszystkim o poinformowanie osoby o braku możliwości jej identyfikacji (a zatem również o braku możliwości realizacji jej żądania), jeśli osoba ta zgłosi się do administratora z jednym z żądań, o których mowa w art. 15 – 20 RODO.
Wskazane jednak wydaje się również – choćby z uwagi na zasadę transparentności przetwarzania danych – poinformowanie z góry osób, których dane dotyczą, o braku możliwości ich identyfikacji przez administratora w określonych przypadkach. Stosowna informacja może znaleźć się np. w polityce prywatności dostępnej na stronie internetowej.
Brak możliwości identyfikacji a realizacja praw osób, których dane dotyczą
Jeżeli realizacja celu przetwarzania danych osobowych przez administratora:
a jednocześnie administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, art. 15-20 RODO nie mają zastosowania.
Oznacza to, że we wskazanych powyżej przypadkach administrator nie będzie miał obowiązku zrealizować żądania podmiotu danych, opartego na jednym z przepisów art. 15-20 RODO, np. żądania uzyskania kopii danych lub usunięcia danych.
Obowiązek realizacji żądania wystąpi jednak, jeśli osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy artykułów 15-20 RODO dostarczy administratorowi dodatkowych informacji pozwalających administratorowi ją zidentyfikować. W tym kontekście Motyw 57 RODO wskazuje dodatkowo, że:
Innymi słowy, administrator nie może odmówić przyjęcia dodatkowych informacji, chcąc w ten sposób uchylić się od realizacji żądania osoby, której dane dotyczą.
Dodatkowo motyw 57 RODO zawiera istotną praktyczną wskazówkę związaną z przetwarzaniem danych osobowych w internecie w kontekście złożenia wniosku o realizację praw na mocy art. 15-20 RODO w przypadku braku możliwości identyfikacji osoby przez administratora, tj. że:
W praktyce oznacza to, że jeśli administrator np. oferuje usługi internetowe, które dostępne są za pomocą danych uwierzytelniających, np. loginu wybranego przez użytkownika, który może być oznaczeniem fantazyjnym, w szczególności niezawierającym imienia i nazwiska użytkownika (np. „DarkLordCauliflower”), i hasła ustawianego przez użytkownika, to administrator ma obowiązek zrealizować żądanie składane przez użytkownika na podstawie art. 15-20 RODO w odniesieniu do danych powiązanych z danym loginem i hasłem użytkownika, jeśli żądanie uwierzytelnione jest właściwym loginem i hasłem, które użytkownik wykorzystuje do korzystania z usługi. Innymi słowy użytkownik nie musi administratorowi podawać swojego prawdziwego imienia i nazwiska, lecz wystarczy, by prawidłowo podał login (np. „DarkLordCauliflower”) i powiązane z nim hasło.