Zgodnie z art. 4 pkt 3 RODO „ograniczenie przetwarzania” jest to oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.
Kiedy można skorzystać z omawianego prawa?
Przepisy RODO przewidziały 4 przypadki:
- osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych
- przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania
- administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
- osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania
– do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
W przypadku, gdy doszło do skorzystania z prawa do ograniczenia przetwarzania, zgodnie z dyspozycja
art. 18 ust. 2 RODO, konkretne dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie:
- za zgodą osoby, której dane dotyczą, lub
- w celu ustalenia, dochodzenia lub obrony roszczeń lub
- w celu ochrony praw innej osoby fizycznej lub prawnej lub z uwagi na ważne względy interesu publicznego UE lub państwa członkowskiego.
„Wśród metod pozwalających ograniczyć przetwarzanie danych osobowych mogą się znaleźć między innymi: czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych lub czasowe usunięcie opublikowanych danych ze strony internetowej. W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie.”
Motyw 67 akcentuje wymóg, aby fakt ograniczenia przetwarzania danych osobowych wyraźnie zaznaczyć
w systemie. Uwzględnienie bowiem żądania podmiotu danych powoduje, że administrator oznaczone dane jedynie przechowuje. Realizacja prawa do ograniczenia przetwarzania może nastąpić również przez wstrzymanie dostępu osób trzecich do danych, co jest praktyką np. publicznych rejestrów kredytowych (np. Biuro Informacji Kredytowej), gdy ustała podstawa do udostępnienia danych byłych dłużników. Z kolei jak wskazano w zautomatyzowanych zbiorach danych przetwarzanie danych należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane.
Reasumując w sytuacji, gdy doszło do ograniczenia przetwarzania danych administrator musi pamiętać,
iż nie powinno się udostępniać tych danych do aplikacji frontowych. Dane mogą być jedynie przechowywane a ich udostępnianie w innych aplikacjach jest obejściem przepisów art. 18 RODO. Generowanie zestawień lub raportów (do celów statystycznych) także jest naruszeniem prawa do ograniczenia przetwarzania. Dane mogą być jedynie przechowywane a generowanie zestawień lub raportów jest złamaniem przepisów art. 18 RODO, stanowi bowiem inny rodzaj przetwarzania.