W ocenie autora zasadnym jest postępowanie z danymi niezidentyfikowanymi analogicznie jak z danymi osobowymi, które podlegają identyfikacji, za wyjątkiem realizacji praw osób, których dane dotyczą tj. wykonywania praw wynikających z art. 15 – 20 RODO. W pozostałym zakresie przetwarzanie danych osobowych powinno odbywać zgodnie z celem w jakim administrator zgromadził dane niezidentyfikowane, w oparciu o środki organizacyjne i techniczne dające jak najwyższy stopień bezpieczeństwa oraz przez minimalny okres czasu.
Dane osobowe zgodnie z art. 4 pkt 1 RODO to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować na podstawie identyfikatora takiego jak imię i nazwisko, dane o lokalizacji czy numer indentyfikacyjny.
Czym są zatem dane niezidentyfikowane? Dane niezidentyfikowane oznaczają dane osób, których administrator nie musi zidentyfikować, aby osiągnąć cele przetwarzania tych danych. Przykładami takich danych niezidentyfikowanych są nagrania monitoringu wizyjnego terenów publicznych czy też informacje, co do których administrator nie wie, gdzie konkretnie się znajdują, ale jest taka możliwość lub nawet pewność, że dane osobowe są przetwarzane – np. zawartość serwera czy poczta elektroniczna.
Dane niezidentyfikowane zostały uwzględnione przez prawodawcę w ramach art. 11 RODO, który to przepis wskazuje, że jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia.
Powyższe uregulowanie oznacza, że administrator danych nie ma obowiązku uzyskania dodatkowych informacji od osoby, której dane dotyczą tylko po to, aby zastosować się do przepisów RODO, a zwłaszcza do wykonywania praw względem osób, których dane dotyczą.
Zgodnie z treścią ust. 2 wskazanego art. 11 RODO administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.
Pierwszym zatem obowiązkiem administratora danych w zakresie danych niezidentyfikowanych, jest weryfikacja przypadków w których dochodzi do przetwarzania lub może dochodzić do przetwarzania danych niezidentyfikowanych np.: monitoringu wizyjnego, poczty e-mail oraz innych obszarów wymiany i przechowywania nieustrukturyzowanych treści, gdzie struktura przechowywania nie jest narzucona – tzn. nie są one skatalogowane według danych osobowych lub w sposób umożliwiający wyszukiwanie konkretnych osób.
Drugim obowiązkiem administratora po dokonaniu weryfikacji przypadków, w których dochodzi do przetwarzania lub może dochodzić do przetwarzania danych niezidentyfikowanych jest ustalenie w jakich przypadkach będzie istniała możliwość poinformowania osoby o tym, że przetwarza się jej dane osobowe przy założeniu, że administrator nie zna jej tożsamości. Powyższy obowiązek wynika z treści art. 11 ust. 2 RODO. Administrator powinien wykonać obowiązek informacyjny z art. 13 lub 14 RODO, jeżeli jest to możliwe np. poprzez tabliczki informacyjne w strefie monitoringu wizyjnego, czy też w stopce e-mail w przypadku udzielania odpowiedzi na wiadomości mailowe.
Kolejnym obowiązkiem administratora danych podczas przetwarzania danych osobowych jest zapewnienie tym danym bezpieczeństwa, analogicznie jak w przypadku danych osobowych, które podlegają identyfikacji. Objęcie bowiem wszelkich danych osobowych przez administratora odpowiednimi środkami technicznymi i organizacyjnymi, aby zapewnić stopień bezpieczeństwa odpowiadający ryzku przetwarzania wynika z art. 32 RODO. Obowiązek ten wynika również z treści art. 5 ust. 1 lit. f RODO, który wskazuje, że dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przez niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Jeszcze jednym ważnym obowiązkiem administratora jest minimalizacja czasu przetwarzania takich danych osobowych. Artykuł 5 ust. 1 lit. b RODO wskazuje, że dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami. Przenosząc powyższe na grunt danych niezidentyfikowanych zasadnym, jest aby administrator jasno określił cel gromadzenia takich danych (np. w przypadku danych pochodzących z monitoringu będzie to zapewnienie bezpieczeństwa) przy jednoczesnym określeniu okresu przetwarzania tych danych, tj. ich przechowywania. Jasne określenie okresu retencji jest szczególnie istotne, albowiem gromadzenie danych osobowych, kiedy administrator osiągnął już cel przetwarzania stanowi naruszenie zasad wynikających z przepisów RODO. Przykładem będzie przechowywanie nagrań z monitoringu przez okres trzech miesięcy od daty nagrania, czy przechowywanie wiadomości mailowych na skrzynce elektronicznej nie dłużej niż rok.
W ocenie autora zasadnym jest postępowanie z danymi niezidentyfikowanymi analogicznie jak z danymi osobowymi, które podlegają identyfikacji, za wyjątkiem realizacji praw osób, których dane dotyczą tj. wykonywania praw wynikających z art. 15–20 RODO. Jeżeli bowiem administrator danych nie jest w stanie identyfikować osoby fizycznej na podstawie danych osobowych, które przetwarza w określonym celu to nie będzie w stanie zrealizować prawa dostępu do danych, prawa do sprostowania, prawa do usunięcia danych, prawa do ograniczenia przetwarzania czy też prawa do przenoszenia danych. Na podstawie art. 11 ust. 1 RODO administrator nie ma obowiązku uzyskiwania dodatkowych informacji, aby zidentyfikować osobę, której dane dotyczą i obowiązki te wykonać. Motyw 57 Preambuły RODO wskazuje, że jeżeli dane osobowe przetwarzane przez administratora nie pozwalają mu zidentyfikować osoby fizycznej, nie powinien on mieć obowiązku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do przepisów rozporządzenia. Administrator nie powinien jednak odmawiać przyjęcia dodatkowych informacji od osoby, której dane dotyczą, by ułatwić jej wykonywanie jej praw.
W pozostałym zakresie przetwarzanie danych osobowych powinno odbywać zgodnie z celem w jakim administrator zgromadził dane niezidentyfikowane, w oparciu o środki organizacyjne i techniczne dające jak najwyższy stopień bezpieczeństwa oraz przez minimalny okres czasu.
