Prawo do ograniczenia przetwarzania (art. 18 RODO)

Przepis art. 18 RODO daje możliwość osobie fizycznej do ograniczenia przetwarzania jej danych osobowych. Prawo to może być realizowane jedynie na żądanie osoby fizycznej, której dane dotyczą i tylko w sytuacjach enumeratywnie wymienionych w art. 18 RODO. Ograniczeniem przetwarzania powinny zaś zostać objęte dane wskazane w przesłanym żądaniu.

blog-123

Zgodnie z art. 4 pkt 3 RODO „ograniczenie przetwarzania” jest to oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.

Kiedy można skorzystać z omawianego prawa?

Przepisy RODO przewidziały 4 przypadki:

  1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych
  2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania
  3. administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  4. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania
    – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Akredytowany kurs IOD

W omawianym prawie chodzi o osiągnięcie przez osobę, której dane dotyczą, skutku w postaci przetwarzania danych przez administratora sprowadzonego jedynie do czynności przechowywania danych. Inne operacje przetwarzania danych są wykluczone (za wyjątkami wskazanymi w art. 18 ust. 2 RODO).

W przypadku, gdy doszło do skorzystania z prawa do ograniczenia przetwarzania, zgodnie z dyspozycja
art. 18 ust. 2 RODO, konkretne dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie:

  1. za zgodą osoby, której dane dotyczą, lub
  2. w celu ustalenia, dochodzenia lub obrony roszczeń lub
  3. w celu ochrony praw innej osoby fizycznej lub prawnej lub z uwagi na ważne względy interesu publicznego UE lub państwa członkowskiego.

„Wśród metod pozwalających ograniczyć przetwarzanie danych osobowych mogą się znaleźć między innymi: czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych lub czasowe usunięcie opublikowanych danych ze strony internetowej. W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie.”

Motyw 67 akcentuje wymóg, aby fakt ograniczenia przetwarzania danych osobowych wyraźnie zaznaczyć
w systemie. Uwzględnienie bowiem żądania podmiotu danych powoduje, że administrator oznaczone dane jedynie przechowuje. Realizacja prawa do ograniczenia przetwarzania może nastąpić również przez wstrzymanie dostępu osób trzecich do danych, co jest praktyką np. publicznych rejestrów kredytowych (np. Biuro Informacji Kredytowej), gdy ustała podstawa do udostępnienia danych byłych dłużników. Z kolei jak wskazano w zautomatyzowanych zbiorach danych przetwarzanie danych należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane.

Reasumując w sytuacji, gdy doszło do ograniczenia przetwarzania danych administrator musi pamiętać,
iż nie powinno się udostępniać tych danych do aplikacji frontowych. Dane mogą być jedynie przechowywane a ich udostępnianie w innych aplikacjach jest obejściem przepisów art. 18 RODO. Generowanie zestawień lub raportów (do celów statystycznych) także jest naruszeniem prawa do ograniczenia przetwarzania. Dane mogą być jedynie przechowywane a generowanie zestawień lub raportów jest złamaniem przepisów art. 18 RODO, stanowi bowiem inny rodzaj przetwarzania. Przejęcie funkcji IOD

Czytaj także:

-
4.67/5 (39) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".