Jak długo można publikować na stronie internetowej instytucji kultury dane osobowe laureatów konkursu

REKLAMA

Porady

Agnieszka Kręcisz-Sarna

03.08.2022

Pytanie

Jako publiczna instytucja kultury realizujemy konkursy, a po ich zakończeniu publikujemy na naszej stronie internetowej relacje z tych wydarzeń, podając do publicznej wiadomości dane osobowe laureatów konkursu (w tym często wizerunek) i np. jurorów. Podstawą przetwarzania danych osobowych jest zgoda. Relacje te (niestety) „zalegają” na naszej stronie internetowej znacznie dłużej niż powinny. Jako IOD mam ambicję, żeby uporządkować te sprawy. W mojej opinii należałoby stworzyć system rejestrowania i zarządzania zgodą na przetwarzanie tych danych. Wydaje się zasadne, aby osoba odpowiedzialna za udostępnianie tych danych w Internecie monitorowała dopuszczalny okres ich upubliczniania (zgodnie z udzieloną zgodą), a po upływie okresu ich uprawnionego udostępniania usuwała dane. Byłby to proces dość mozolny, wymagający dużej jednak koncentracji. Wydaje mi się więc, że można rozważyć sytuację, gdy pobierając zgodę na publikowanie danych na stronie internetowej informujemy uczestników konkursu, że ich dane będą udostępniane publicznie na stronie internetowej instytucji w celu podania informacji o wynikach konkursu, popularyzacji działań prowadzonych przez bibliotekę oraz w celu archiwizacji informacji o konkursie. Informujemy ich także, że dane będą usuwane ze strony internetowej po upływie np. 1 roku liczonego od końca roku kalendarzowego, w którym je opublikowano. Uniknęlibyśmy wtedy ścisłego monitorowania zgód. Usuwanie danych może polegać na usuwaniu całej informacji o wydarzeniu (relacji) lub zatrzymaniu informacji (relacji) pod warunkiem jej przeredagowania – dane powinny zostać poddane odpowiedniemu procesowi anonimizacji. Czy podobnie powinniśmy postąpić z danymi osobowymi (imię, nazwisko, wizerunek) pisarzy, prelegentów, itp., których promowaliśmy na naszej stronie internetowej w związku z organizowanymi przez nas wydarzeniami i/lub umieszczaliśmy relacje z tych wydarzeń ex post?

Odpowiedź

Ogólne rozporządzenie o ochronie danych (RODO) wymaga, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których dane te są przetwarzane (art. 5 ust. 1 lit. e RODO). Oznacza to, że dane osobowe nie mogą być przetwarzane w nieskończoność. Dane osobowe nie mogą być przetwarzane na zapas, „na wszelki wypadek”, tj. bez wykazania celowości ich pozyskania i niezbędności dla realizacji zadań administratora danych. Administrator danych może przechowywać dane osobowe przez okres dłuższy jedynie w przypadku, gdy będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO.

Określając czas przechowywania danych administrator danych musi pamiętać, że przetwarzanie danych może być oparte o kilka różnych przesłanek np. obowiązek prawny (art. 6 ust. 1 lit. c RODO), realizacja umowy (art. 6 ust. 1 lit. b RODO), zgoda podmiotu danych (art. 6 ust. 1 lit. a RODO) lub prawnie usprawiedliwiony cel administratora danych (art. 6 ust. 1 pkt f RODO). Tym samym może zaistnieć konieczność przechowywania danych osobowych wynikająca z innych celów, niż pierwotny cel zbierania danych.

Administrator powinien w pierwszej kolejności przeanalizować, czy ujawnione na stronie internetowej dane osobowe są administratorowi danych nadal niezbędne do realizacji zamierzonych celów przetwarzania. Po drugie administrator danych powinien ocenić, czy z punktu widzenia celów umieszczenia danej informacji na stronie internetowej niezbędne jest pozostawianie w jej treści danych osobowych. Nie można bowiem wykluczyć, że usunięcie personaliów osób prywatnych, czy też ich zanonimizowanie, nie wpłynie na czytelność dokonanego w ten sposób przekazu. Po trzecie należy mieć na uwadze, że gdy przetwarzanie danych służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Przed wyrażeniem zgody osoba, której dane dotyczą powinna być poinformowana o możliwości wycofania zgody w dowolnym momencie.

RODO zobowiązuje administratorów i podmioty przetwarzające do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu skutecznej ochrony danych osobowych. Środki te powinny zapewniać bezpieczeństwo danych osobowych odpowiednie do ryzyka naruszenia danych osobowych, uwzględniać charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także stan wiedzy technicznej i koszty wdrażania. Oznacza to, że to na administratorze danych spoczywa obowiązek doboru i wdrożenia odpowiednich środków zabezpieczających dane osobowe, w tym odpowiedniej dokumentacji i procedur ochrony danych. Wobec tego administrator może przyjąć procedurę, która pozwoli sprecyzować konkretne terminy usuwania danych osobowych (politykę/procedurę retencji danych osobowych).

Podstawa prawna

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Autor

Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego.