Tag: anonimizacja

6. Konkluzje

Cele archiwalne w interesie publicznym w rozporządzeniu ogólnym o ochronie danych

Uprzywilejowany status celów archiwizacji skutkuje swoistym stosowaniem zasad przetwarzania danych osobowych. Są to dane, które mogły być pierwotnie zebrane w sposób bezprawny, nie wymaga się od nich prawidłowości ani nawet prawdziwości, są przechowywane dłużej niż mogły spodziewać się osoby, o których one informują. „Archiwistyczna celowość”, jeśli nie zostałaby skutecznie podważona, ma też z mocy przepisów pierwszeństwo przed prawami i wolnościami tych osób. Co więcej, arbitrami w sporach rozporządzenie w praktyce uczyniło administratorów danych, a ich rozstrzygnięcia niełatwo obalić.

Jednakże takie przywileje podlegają warunkom. Ci, który decydują o przetwarzaniu, obowiązani są wykazywać niezbędność konkretnych (a sytuacjach spornych – wręcz poszczególnych) zgromadzonych danych do celów archiwizacji w interesie publicznym. Gdyby ich zadania polegały na zbieraniu źródeł informacji o trwałej wartości poznawczej, powinni móc dowieść, że wśród nich nie są zamieszane dane, które takiej wartości nie mają, a identyfikują ludzi żyjących albo mogących, według rozsądnych kryteriów, nadal żyć – i zarazem spełniają krytyczne kryteria wyszukiwalności.

Rozporządzenie każe też równoważyć wyjątkowe traktowanie wybranych celów przetwarzania – w tym archiwizacyjnych – poprzez zabezpieczenia praw i wolności osób, których dotyczą poprawnie zgromadzone dane. Przywołuje zwłaszcza zasadę minimalizacji danych. Trudno by przyjąć, że w tym specyficznym kontekście powtarza po prostu wymóg, który obowiązuje w stosunku do wszelkich celów i wszelkich administratorów[1]. Etykieta informacyjnej niezbędności do osiągania celów archiwizacji, choćby i rzetelnie zamieszczana, nie zwalniałaby od starań na rzecz osób, których dotyczą przetwarzane dane. W takim zaś razie rozporządzenie prowadzi do przewartościowania standardu, w którego świetle w archiwach, zwłaszcza tzw. archiwach historycznych, informacja ma pozostać taką, jaką była „za życia”, ulec zamrożeniu. Nie tylko więc do archiwów docierać mogą dokumenty pomniejszone, ale i na etapie definitywnej archiwizacji niewykluczona byłaby dalsza redukcja informacyjnej zawartości.

Archiwiści nie czują się jednak stawiani przed wyborem między podtrzymywaniem cennej wiedzy, a wartościami tej wiedzy przeciwstawianymi przez ludzi, którzy obawiają się o swą informacyjną autonomię. Nie myślą o modyfikowaniu informacji zagrażającej innym chronionym dobrom, bo w imię oryginalności źródła nie są skłonni usuwać nawet informacyjnie obojętnych domieszek. Argument, że archiwalne zasoby i każdy z ich składników gromadzi się w interesie publicznym, utrafia w upowszechnione stereotypy, obywając się bez dowodów.

Archiwistyka ma problem z zaakceptowaniem fundamentalnej zasady rozporządzenia, a zarazem priorytetu odniesionego do osiągania celów archiwizacji – że dane należy przetwarzać w formie niepozwalającej na identyfikację osób, o ile byłoby mimo to możliwe osiągnięcie celów przetwarzania. Zacieranie danych osobowych, nawet gdy są nieistotnym składnikiem historycznych źródeł, sztafażem dziejów, stanowiłoby, w świetle kryteriów tej dyscypliny, niedopuszczalny występek przeciw autentyczności oraz integralności zapisów. Archiwistyczna doktryna kategorycznej ochronie poddaje treść i postać dokumentacyjnych reliktów; formułuje aksjomat nienaruszalności zgromadzonych przekazów wiedzy. Wiele doświadczeń i racji przemawia za takim podejściem, lecz z tej przyczyny archiwistyka pozostaje zamknięta na pryncypia europejskiej regulacji.

Skłonna jest  redukować swą uwagę do sprawności postępowania z dokumentacją oraz dostępności informacji do wykorzystania, a wobec tego nie zadaje pytań o wolności i prawa, które konkurują z gromadzeniem i eksploracją spersonalizowanej wiedzy. Nie wypracowała własnych mechanizmów diagnozowania informacyjnego ryzyka, a tym bardziej – reagowania na nie. Archiwistyczna ewaluacja pozostaje na to ryzyko obojętna. Jest zwykle uogólniona i opiera się na praktycznej albo poznawczej użyteczności dokumentów. Nie pozostawia miejsca na refleksję nad przesłankami rezygnacji z danych.

Z tych przyczyn archiwiści nie są gotowi m.in. do anonimizacji dokumentacyjnych źródeł. Dopuszczają ją, niegorliwie, w zakresie udostępniania informacji. Może być to w praktyce akceptowane, lecz nie jest wierne rozporządzeniu ani nie gwarantuje bezpieczeństwa danych osobowych. Skoro tak, nie ma miejsca myślenie, jak tej czynności dokonywać, by uniknąć niezamierzonych informacyjnych strat. Racjonalne rozwiązanie leży, być może, w połowie drogi między niszczeniem danych w dokumentach, a ich kodowaniem – lecz żadne rozwiązania nie były rozważane[2].

Powikłany tok uzgodnień projektu tzw. ustawy sektorowej został w pewnym momencie przerwany dramatycznym wystąpieniem wiceprezesa Rządowego Centrum Legislacji[3]. Tylko raz wymienił on wprost ustawę o narodowym zasobie archiwalnym, ale uczynił to w elektryzującym kontekście. Przywołał bowiem wyrok Trybunału Konstytucyjnego, w którego uzasadnieniu znalazł się passus, iż „w demokratycznym państwie prawnym nie jest konieczne przechowywanie informacji na temat obywateli (…) ze względu na potencjalną przydatność tych informacji”[4]. W procesie legislacyjnym to przypomnienie osiągnęło swój cel i dalej nie było podnoszone, lecz samo w sobie stało się zarazem precedensem w debacie o realizowaniu celów archiwizacji.

Wymogi rozporządzenia należy niemniej nałożyć – ze świadomością toczonego w tym przedmiocie sporu – na zakres jego stosowania, w szczególności ze względu na jego ograniczenie do danych przetwarzanych automatycznie albo ujętych w zbiory o wskazanej w rozporządzeniu przeszukiwalności[5]. Uwzględnienia wymaga także kryterium „rozsądnie prawdopodobnego sposobu” identyfikacji.

Z uwagi na rozdźwięk w doktrynie może wprawdzie okazać się sporne przetwarzanie także rozproszonych i trudno wyszukiwalnych danych. Maksymalizująca wykładnia rozporządzenia, która zakłada objęcie ochroną wszelkich danych osobowych (z wyjątkami wyraźnie w tym akcie sformułowanymi), miałaby następstwa graniczące wręcz z kryminalizacją archiwistyki. To ostatnie nie zdaje się wprawdzie realnym ryzykiem, a ukazuje paradoksy regulacji. Realizowanie archiwizacyjnych celów nie tylko podlega przepisom prawa, ale jest też zjawiskiem kulturowym i z tych drugich kontekstów czerpie najważniejsze dla siebie uzasadnienia.

Rozporządzenie ogólne o ochronie danych jest aktem prawnym i społecznym zjawiskiem. W tej pierwszej funkcji odznacza się złożonością, która prowokuje czasem obawy o jego spójność. Choć nie jest wolne od niedoskonałości i zagmatwań, to przede wszystkim jednak stanowi dynamiczną konstrukcję normatywną, z założenia niedomkniętą, niedokończoną i nieunikającą wewnętrznych kolizji. Jest takie, jak społeczna rzeczywistość, do której kształtowania aspiruje.

Poza tym, w odróżnieniu od wielu innych, nie mniej nawet ważnych unormowań, budzi emocje. Nie sprawiły tego wyłącznie jego represyjne wątki, bo sama materia regulacji porusza publiczną opinię. Czyniła to również poprzedzająca je dyrektywa z 1995 r. i wydawane w związku z nią ustawy krajowe, mimo że nie wyróżniały się przepisami karnymi. Już wtedy ukształtowała się czarna legenda informacyjnych zakazów, przyjmowanych z dezaprobatą. Do potocznego języka wszedł obiegowy zwrot „absurdy RODO”, sporadycznie skądinąd używany w celu krytyki aktu, a opisujący raczej jego opaczne rozumienie i wykonywanie. Rozporządzenie wywołało też nadzwyczajną obfitość poradników i doradców, a także wykreowało tłumy nominalnych specjalistów. Nim jeszcze weszło do stosowania, stało się etykietą towarów i usług, promowanych językiem lęku przed ochronnymi unormowaniami. Realne i wymagające działania są niemniej powszechne zagrożenia informacyjnych wolności i praw – zarówno pospolite naruszenia prawa, jak i fenomeny władzy i panowania. Nieodparta jest też niezbędność masowego posługiwania się danymi osobowymi, a w takim razie – wytyczenia dla niego akceptowanych granic i gwarancji.

[1] P. Fajgielski uważa, że specyficzne przywołanie ogólnej zasady ma na celu wyeksponowanie jej znaczenia przy realizacji uprzywilejowanych celów przetwarzania danych. Zwraca przy tym uwagę na błędne pominięcie w polskiej wersji rozporządzenia, w kontekście zasady minimalizacji, zwrotu „w szczególności” – Ogólne rozporządzenie, komentarz do art. 89 [8].
[2] Do rozważenia byłoby natomiast prowadzenie anonimizacji obejmujące rejestrację wszystkich jej incydentów w odrębnym chronionym zbiorze, poddanym np. szyfrowaniu. Usuwanie danych opiera się bowiem na ocenie, że są one zbędne do celów archiwizacji, a z drugiej strony – masowość operacji wyklucza powierzenie tego zadania ekspertom. Rejestrowana anonimizacja – niewątpliwie trudniejsza od zwykłej – zapewniałaby pseudoodwracalność usunięcia danych.
[3] Pismo Tomasza Dobrowolskiego, wiceprezesa RCL, do Ministra Cyfryzacji z 16 października 2017 r. – znak RCL.DPPTK.550.8/2017 (https://legislacja.rcl.gov.pl/docs//2/12302951/12457700/12457703/dokument326259.pdf, [odczyt 2018 02 24]).
[4] Wyrok Trybunału Konstytucyjnego z dnia 12 grudnia 2005 r. (sygn. akt K 32/04). Przedmiot sprawy nie dotyczył wprawdzie zagadnień archiwistyki, a dopiero w toku uzgodnień projektu ustawy sektorowej doszło do takiego odniesienia.
[5] Art. 2 ust. 1 R.2016/679.



5.3 Zabezpieczenia praw i wolności

Cele archiwalne w interesie publicznym w rozporządzeniu ogólnym o ochronie danych

Ustawa o narodowym zasobie archiwalnym i archiwach przewidywała w swym dotychczasowym brzmieniu ograniczenia prawa do korzystania z informacyjnych zasobów, określane jako przesłanki odmowy dostępu do materiałów archiwalnych[1]. Szczególne miejsce zajmują wyspecjalizowane karencje dostępowe, odniesione do wybranych rodzajów dokumentacji, typowo zawierającej dane osobowe. W podobny sposób ustawa wyróżnia też ochronę danych osobowych i dóbr osobistych.

Ze względu na przepisy rozporządzenia niezbędne stały się dodatkowe zabezpieczenia praw i wolności osób, których dotyczą dane zawarte w materiałach archiwalnych, zwłaszcza w trakcie ich udostępniania – w postaci anonimizacji danych osobowych, a w systemach informatycznych i teleinformatycznych – ich pseudonimizacji[2].

Ustawa różni się w tym miejscu od europejskiej regulacji, a sprawił to brak przecinka po zwrocie „w trakcie ich udostępniania”. Anonimizacja i pseudonimizacja powiązane zostały z jedną tylko formą przetwarzania danych – udostępnianiem materiałów archiwalnych – podczas gdy w rozporządzeniu mowa jest o usunięciu (ewentualnie zakodowaniu danych) w źródłowych dokumentach. Nie skutkuje to, oczywiście, ograniczeniem obowiązywania przepisów rozporządzenia. Należy rozumieć natomiast, że ustawodawca krajowy odniósł się do szczególnej sytuacji, gdy zarchiwizowane dane są przechowywane w postaci umożliwiającej identyfikację osób, lecz ich udostępnianie podlega czasowym restrykcjom. Będzie mogło ulec rozszerzeniu, gdy w przyszłości wygaśnie ochrona danych.

Na wypadek kolizji pozytywnych i negatywnych uprawnień informacyjnych – w sytuacjach, gdy anonimizacja albo pseudonimizacja danych miałyby zniweczyć gwarancje korzystania z informacji lub gdyby ich dokonanie było nadmiernie uciążliwe – alternatywnie przewiduje się umowne zobowiązywanie użytkowników zasobu archiwalnego do nierozpowszechniania danych jednostkowych, z którymi zapoznali się w archiwum.

Jest to praktycznym zastosowaniem zastrzeżenia, zawartego w motywach rozporządzenia, że ochrona danych osobowych nie odznacza się bezwzględną nadrzędnością w stosunku do innych prawnie chronionych wartości, w tym m.in. wolności badań naukowych[3]. Z tego względu nie można nawet całkiem wykluczyć warunkowego udostępniania materiałów archiwalnych zawierających niezabezpieczone dane osobowe, jeśli jest to uzasadnione celami udostępnienia, a wynikowe opracowania byłyby zanonimizowane.

Umowa, która pozwala na wgląd w chronione dane określonej osobie, a zarazem wyklucza dalszy z nich użytek, ma zastosowanie, gdy tenże zainteresowany jest w stanie ochronie danych przeciwstawić nadrzędny w stosunku do niej, przysługujący mu informacyjny przywilej. Widoczny jest związek tego rozwiązania z negatywną przesłanką z art. 16b ust. 1 pkt 2 lit. b (ochroną danych osobowych) oraz z przesłankami wyjątku z art. 16b ust. 3 pkt 1 unza (posiadanie przez użytkownika szczególnych uprawnień lub realizowanie przezeń celów korzystających ze szczególnej ochrony prawnej). Przewaga przywileju nad względami ochrony danych usprawiedliwia ujawnienie danych konkretnemu odbiorcy, ale samej ochrony nie uchyla. Nie jest więc akceptowalne, by dane, w postaci umożliwiającej identyfikację osób, poznali następnie inni.

Granicę stanowi bowiem niedozwolone – na mocy rozporządzenia – naruszenie istoty prawa do ochrony danych osobowych. Choć literalnie zakaz dokonywania takiego naruszenia powiązany został ze szczególnymi kategoriami danych osobowych (tzw. danymi wrażliwymi), to bez wątpienia w ogóle nie wolno pozbawiać osób, których dane dotyczą, należnych im gwarancji informacyjnej autonomii, a przez to narażać je na negatywne następstwa, np. w postaci społecznej stygmatyzacji albo poddania wrogiemu wpływowi. Ochronne gwarancje mogłyby doznać nieodwracalnego uszczerbku z powodu samego upowszechnienia danych, które identyfikują osobę fizyczną.

Nie sposób jednak odrzucić ekstremalnej ewentualności, gdy uprzywilejowane cele użytkownika archiwalnego zasobu przemawiałyby za dalszym przetwarzaniem chronionych danych (w tym zwłaszcza ich upublicznieniem), a więc za odstąpieniem od ich ochrony w imię innych wartości. Zasada proporcjonalnego równoważenia wzajemnie kolizyjnych uprawnień uległaby zredukowaniu do wyboru jednego z nich, o czym w rozporządzeniu wprost nie ma mowy. Umowy wyłączające dalsze przetwarzanie danych osobowych miałyby w tej sytuacji co najwyżej marginalne, a zwykle żadne zastosowanie. Kluczem do tego kontrowersyjnego odstępstwa mógłby stać się interes publiczny, który wyróżnia cele archiwizacji, mający znaczenie dla praw podstawowych. Nie jakikolwiek, ale przeważający nad prawami podstawowymi osoby, której dotyczą dane.

Zastosowanie umów byłoby problematyczne w razie wystąpienia przesłanki z art. 16b ust. 3 pkt 2 (użytkownik jest uprawniony do dostępu do danych). Bycie uprawnionym ustawodawca odróżnił od posiadania szczególnych uprawnień albo realizacji uprzywilejowanych celów; ujął je jako względnie stałą cechę osobową użytkownika. Tak silna przesłanka oznacza na ogół, że wyróżnionej przez nią osobie wolno dysponować danymi – co nie podlegałoby umownemu ograniczeniu. Mogą wystąpić jednak wyjątki – ze względu potrzebę jednoczesnej ochrony danych innych osób.

Tego rodzaju umowy z przeciwnych przyczyn nie miałyby podstaw, gdyby o dostęp ubiegały się osoby, których informacyjne uprawnienia są na zwykłym poziomie, niewzmocnione specjalnymi przywilejami. Brak wówczas powodu, by na ich rzecz choćby częściowo uchylać ochronę danych, poprzez ujawnienie ich nawet jednemu użytkownikowi archiwalnego zasobu.

Stosowanie ustawowych zabezpieczeń nie jest jednak wymagane w razie przetwarzania danych, w tym ich udostępniania, na podstawie zgody osoby, której one dotyczą albo w razie dobrowolnego i świadomego upublicznienia danych przez taką osobę.

Administratorzy danych, realizujący cele archiwizacji, obowiązani są również wdrażać wewnętrzne procedury, które miałyby na celu uniemożliwienie wglądu w dane nieupoważnionym pracownikom. Stosowane w tym celu zabezpieczenia powinny polegać co najmniej na dopuszczeniu do przetwarzania chronionych danych osobowych jedynie pracowników posiadających pisemne upoważnienie wydane przez administratora, a także na pisemnym zobligowaniu tych pracowników do zachowania przetwarzanych danych w poufności.

Powyższe zabezpieczenia należało w ustawie rozszerzyć na dokumentację niestanowiącą materiałów archiwalnych, gdyż również ona podlega przechowywaniu – z zasady przejściowo – przez jednostki państwowej sieci archiwalnej[4]. Takie uzupełnienie było zgodne z literą i duchem rozporządzenia, które dotyczy postępowania z informacją niezależnie od trwania jej przydatności. W przypadku owych źródeł danych o czasowym tylko okresie przechowywania ochronę praw i wolności opatrzono jednak w unza symptomatycznym zastrzeżeniem – „o ile nie sprzeciwia się to celom postępowania z tą dokumentacją”. Niekiedy bywa ona bowiem uwikłana, mimo archiwizacji, w niewygasłe interesy, a wobec tego mogłoby nie być celowe ani dopuszczalne np. ograniczanie dalszego użytku z zawartych w niej danych, a tym bardziej ich anonimizacja. Wobec tego, zabezpieczenia, pojmowane w sensie informacyjnych restrykcji, należało przez ostrożność skorelować z pozytywnymi prawami do informacji.

[1] Art. 16b unza.
[2] Art. 12 pkt 4 ustawy sektorowej dodający w unza art. 22c ust. 1 i 2.
[3] Mot. 4 R.2016/679.
[4] Art. 12 pkt 4 ustawy sektorowej dodający w unza art. 22c ust. 3.



4.5 Ochrona praw i wolności

Cele archiwalne w interesie publicznym w rozporządzeniu ogólnym o ochronie danych

Przetwarzanie danych osobowych do celów archiwizacji, celów badań naukowych lub historycznych albo celów statystycznych jest dopuszczalne pod warunkiem, że ich administrator ustali, iż zakładanych celów nie osiągnąłby w razie odosobowienia danych[1]. Trzeba wykazać, czy uprawnionych potrzeb nie sposób zrealizować bez przetwarzania spersonalizowanych komponentów informacji, a ściślej – bez odkrywania jednostkowych tożsamości. Tego rodzaju dowód powinien być odniesiony do skali czasu, którą zamyka naturalne wygaśnięcie ochrony danych, a przynajmniej – rozsądne prawdopodobieństwo jej wygaśnięcia, skorelowane z typowym trwaniem ludzkiego życia[2]. Znaczenie indywidualnych tożsamości dla celów archiwizacji i dla badawczych zastosowań nie jest bowiem oczywiste. W porządku zdarzeń ta ocena powinna być pierwsza.

Nie ulega wątpliwości, że rozporządzenie rekomenduje anonimizację zapisów informacji, jeśli miałyby być wykorzystane do wyróżnionych celów, w tym archiwizacyjnych[3]. Gdyby dalsze przetwarzanie danych okazało się jednak nieodzowne, zastosowanie miałby obowiązek wdrożenia przez administratorów środków technicznych i organizacyjnych w celu ochrony praw i wolności osób, których te dane dotyczą[4]. Mowa o równoważeniu ryzyka powodowanego wyjściem poza pierwotną użyteczność danych i poza przewidziany dla jej realizacji okres. Wdrożenie wskazanych środków nie zostało powiązane ze szczególnymi wyjątkami od pryncypiów ochrony danych, ale z uprzywilejowanymi celami w ogólności. Środki te miałyby „ograniczyć przetwarzanie danych osobowych w myśl zasad proporcjonalności i konieczności”, a także zapewnić „w szczególności poszanowanie zasady minimalizacji danych”[5]. Niezależnie od tak sformułowanych wymagań, specyficznie przypisanych do wyróżnionych celów, środki techniczne i organizacyjne w każdym przypadku przetwarzania danych osobowych powinny urzeczywistniać standard „integralności i poufności”.

W rozporządzeniu „integralność i poufność” stanowią etykietę zasady zapewniania bezpieczeństwa danych. Szczególnie istotna jest pod tym względem ochrona przed nieuprawnionym lub bezprawnym przetwarzaniem[6]. Dla lepszego zrozumienia enigmatycznego rozróżnienia tych zabronionych czynów, sięgnąć można do kontekstów uchylonej dyrektywy 95/46/WE, obejmujących dokonane bez upoważnienia ujawnienie danych albo dostęp do nich, a także bezprawne zniszczenie danych. Wydaje się, że zbliżone znaczenie ma też przepis rozporządzenia, zwłaszcza że dalej wylicza on czynniki ryzyka dla integralności danych w postaci ich „przypadkowej utraty, zniszczenia lub uszkodzenia”. Zamierzone, a z drugiej strony nierozmyślne naruszenia bezpieczeństwa, jedne i drugie z możliwym udziałem administratorów i odbiorców danych, podmiotów przetwarzających, a także innych aktorów, którzy mogą nawet nie wejrzeć w informację, ale sprowadzają ryzyko dla jej integralności (jak np. terroryści).

Zasadę minimalizacji danych rozporządzenie w ogólności wyraziło natomiast poprzez sformułowanie zwięzłego postulatu, by dane osobowe były „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”[7]. Wymagana jest relewantność środków i celów w ramach konkretnych przedsięwzięć, a nie mają znaczenia cechy administratora danych, walor jego działania ani waga spodziewanych wyników.

Minimalizacja danych stanowi oczekiwane następstwo stosowania się do standardu „proporcjonalności i konieczności”. Wywodzi się on z fundamentalnej zasady rozporządzenia, że dane osobowe wolno przetwarzać pod warunkiem, że w inny rozsądny sposób nie można by osiągnąć uprawnionych celów[8]. W tym rozumieniu posługiwanie się informacjami identyfikującymi ludzi byłoby dopuszczalne pod warunkiem wykazania, że jest prowadzone w granicach usprawiedliwionej potrzeby i w tym zakresie niezbędne.

Naruszenia zasady minimalizacji danych mogą być wielorakie – ze względu na zbyteczność gromadzenia i używania określonych informacji do osiągnięcia zakładanego czy też deklarowanego rezultatu albo przetwarzanie danych, które są wprawdzie adekwatne do celu, ale występują w ilości większej niż to konieczne. Szczególnym uchybieniem przeciw minimalizacji danych wydaje się ich przechowywanie ponad wyznaczony dla nich okres. Nienależyte byłoby również przetwarzanie danych adekwatnych, w nienadmiernej nawet  ilości i nie dłużej niż zostało dla nich ustalone, z tym jednak, że cel byłby osiągalny również bez identyfikowania osób fizycznych.

Do celów archiwizacji i pozostałych wraz z nimi wymienianych, wymogi minimalizacji stosują się swoiście. Zgromadzone dane powinny w całości spełniać przyjęte kryteria kwalifikacyjne, a w tym – posiadać zakładaną informacyjną wartość. Ponadto, nie wystarczyłoby stwierdzenie, że określone wiadomości są konieczne dla realizacji tych celów, lecz pozostawałby dodatkowo do przeprowadzenia dowód niezbędności zawartych w nich danych osobowych.

Tak ujmowaną dyspozycję trzeba niemniej odczytywać zapewne w powiązaniu z  klauzulą „rozsądnie prawdopodobnego sposobu” identyfikacji osób, skonfrontowaną z motywem nadmiernego utrudnienia bądź uniemożliwienia osiągania celów archiwizacji. Nie wydaje się, by zalecała albo nakazywała wybór dowolnie uciążliwych środków, które byłyby alternatywne względem przetwarzania danych osobowych. Nieracjonalność nakładów – sił,  kosztów, czasu – które trzeba by ponieść w celu wykorzystania danych ze skutkiem w postaci naruszenia prawa do ich ochrony, wypada przyjmować jako akceptowalny argument na rzecz warunkowego dopuszczenia do gromadzenia identyfikujących informacji. Nawet gdy ich administrator mógłby w ostateczności obyć się bez nich, lecz z drugiej strony, gdyby ich usunięcie wydatnie utrudniało realizowanie przezeń celów archiwizacji. Natomiast łatwość naruszenia może okazać się zbieżna z łatwością zapobiegania mu, włącznie z identyfikacją i prewencyjnym pozbyciem się danych, które są pozbawione przymiotu niezbędności do uprzywilejowanych celów. Tego rodzaju rozstrzygnięcia powinny, w każdym razie, podlegać standardom rzetelności przetwarzania. Obok minimalizacji rozporządzenie wymienia środek ochronny w postaci pseudonimizacji danych, z zastrzeżeniem, by nie stanowiła przeszkody w realizacji celów przetwarzania. Ma ona zastosowanie w środowisku cyfrowym, a i to nie bez trudności. Polega na kodowaniu danych według zdefiniowanego klucza, przechowywanego przez administratorów danych odrębnie w stosunku do informacyjnych zasobów[9]. Określoność i zachowanie klucza są nieodzowne, gdyż wymaga się od pseudonimizacji, aby była odwracalna. Z tego względu poddane jej spersonalizowane informacje nadal uważa się za mające zdolność identyfikowania, nieanonimowe.

[1] Art. 89 ust. 1, mot. 156 R.2016/679.
[2] EAG. Guidance, s. 5-6 (pkt 5).
[3] Sakowska-Baryła, Ogólne rozporządzenie – komentarz do art. 89 [3] R.2016/679, s. 624-625. Omawiane tu zalecenie zostało przedstawione jako wyraz prymatu praw podmiotu danych.
[4] Art. 5 ust. 1 lit. e R.2016/679.
[5] Tamże, mot. 156; por. art. 89 ust. 1.
[6] Tamże, art. 5 ust. 1 lit. f; w polskiej wersji rozporządzenia 2016/679: „niedozwolonym lub niezgodnym z prawem” – co nie jest dostatecznie jasne ani wierne innym wersjom językowym, m.in. angielskiemu „unauthorised or unlawful”.
[7] Tamże, art. 5 ust. 1 lit c.
[8] Tamże, art. 6 ust. 1 lit. c, e.
[9] Por. Gawroński, Ochrona danych, s. 329-330.