Jedną z wyjątkowo dziwacznych konstrukcji umieszczonych w RODO jest art. 11 dotyczący przetwarzania danych niewymagającej identyfikacji osoby, której te dane dotyczą.

Omawiany przepisy dotyczy sytuacji, w której cele przetwarzania danych osobowych nie wymagają lub już nie wymagają identyfikowania przez administratora osoby, której dane dotyczą. Chodzi zatem o takie sytuacje, gdy z uwagi na inne okoliczności (np. rozwiązanie umowy) lub charakter samego przetwarzania nie jest konieczne, by administrator mógł zidentyfikować, czyje dane przetwarza.

Jeśli do tego dojdzie, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu identyfikacji tych osób tylko po to, by zastosować się do RODO (np. w ramach obowiązku informacyjnego). Innymi słowy jeśli potrzeba identyfikacji osób wynika tylko z obowiązków nałożonych przez rozporządzenie, a nie z celu przetwarzania, administrator nie musi posiadać dodatkowych danych taką identyfikację umożliwiających. Jest to wyraz zasady minimalizacji danych.

Zgodnie z art. 11 ust. 2, jeśli administrator może wykazać (zasada rozliczalności), że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym tę osobę. Oczywista logiczna sprzeczność tego przepisu (jak można informować kogoś, kogo już nie jesteśmy w stanie ustalić?) sprawia, że orzecznictwo będzie musiało nieźle się natrudzić doprowadzając ten przepis do względnej używalności.

Naturalną konsekwencją powyższych uregulowań jest wyłączenie możliwości korzystania przez podmioty danych ze swoich praw do:

  1. dostępu do danych;
  2. sprostowania danych;
  3. usunięcia danych;
  4. ograniczenia przetwarzania;
  5. uzyskania informacji o odbiorcach danych;
  6. przeniesienia danych.

Od powyższego wyłączenia istnieje jednak wyjątek. Powyższe prawa dalej będą przysługiwały osobie, której dane dotyczą, jeśli w celu wykonywania swoich praw dostarczy dodatkowych danych pozwalających ją zidentyfikować. Potwierdza to motyw 57 preambuły: administrator nie powinien jednak odmawiać przyjęcia dodatkowych informacji od osoby, której dane dotyczą, by ułatwić jej wykonywanie swoich praw.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018