Logowanie

Rejestracja

Poprzez założenie konta Użytkownika w serwisie e-prawnik.pl wyrażam zgodę na przetwarzanie moich danych osobowych w celu wykonania zobowiązań przez Legalsupport sp. z o.o. z siedzibą w Krakowie, przy ul. Gabrieli Zapolskiej 36, kod poczt. 30-126, zarejestrowaną w Sądzie Rejonowym dla Krakowa - Śródmieścia w Krakowie, NIP 676-21-64-973, kapitał zakładowy 133.000,00 zł, zgodnie z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych.
Równocześnie akceptuję regulamin serwisu e-Prawnik.pl

Bezpłatny dostęp tylko dla zarejestrowanych

masz już konto?

  • Wyrażam zgodę na przetwarzanie moich danych osobowych i akceptuję Regulamin serwisu e-Prawnik.pl (więcej)

  • Wyrażam zgodę na otrzymywanie od Legalsupport sp. z o.o. informacji handlowej (więcej)


Prawo do bycia zapomnianym

FreeImages.com
(fot. FreeImages.com)

Na czym polega prawo do usunięcia danych?

RODO przyznaje osobom, których dane dotyczą, prawo do usunięcia danych, w tym prawo do bycia zapomnianym.

Prawo do bycia zapomnianym jest jednym z nowych uprawnień przyznanych przez RODO osobom, których dane dotyczą.

Zgodnie z przepisami RODO, osoba taka ma prawo w przypadkach opisanych w RODO żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, zaś administrator ma obowiązek bez zbędnej zwłoki te dane osobowe usunąć.

Prawo do bycia zapomnianym obejmuje także prawo do żądania od administratora, który upublicznił dane (np. wyszukiwarkę internetową), żeby ten podjął działania w celu poinformowania innych administratorów przetwarzających te dane, że podmiot danych żąda ich usunięcia (tj żąda, aby administratorzy ci usunęli wszelkie łącza do tych danych bądź ich kopie).

Administrator musi zapewnić odpowiednie techniczne i organizacyjne środki pozwalające na całkowite usunięcie danych osoby, która korzysta z prawa do bycia zapomnianym. Należy usunąć dane ze wszystkich miejsc, a więc m.in. z: serwera, poczty, plików Word i Excel, dysków zewnętrznych i przenośnych, ale też z papierowych kopii.

Samo przechowywanie przez administratora danych nadal kwalifikowane jest jako przetwarzanie danych osobowych. Dane osobowe muszą być także usuwane ze wszystkich kopii zapasowych oraz logów.

Jeśli usuwanie z kopii zapasowych pojedynczych rekordów grozi naruszeniem integralności pozostałych gromadzonych danych, to administrator może manualnie przywracać kopie do bazy głównej, a potem usuwać z nich pojedyncze rekordy i „backupować” bazy zmniejszone o ten rekord, chociaż jest to dość czasochłonny proces.

Niezbędna jest także wiedza, komu w czasie trwania współpracy, przekazano przetwarzanie danych osoby, która wnosi o prawo do bycia zapomnianym. Obowiązkiem administratora jest poinformowanie podmiotów przetwarzających (np. dostawców, firmę obsługującą newslettera), żeby także usunęli dane tej osoby. Obowiązek ten jednak nie jest nieograniczony – może być ograniczony przez: dostępną technologię, koszty czy konieczność ograniczenia do rozsądnych działań (tj. nie jest bezwzględnie konieczne takie zawiadomienie, ale jest tylko obowiązek starannego działania w tym celu). Ograniczenie zakresu obowiązku przy użyciu kryterium kosztów powoduje, że podmioty większe, o większych możliwościach finansowych, będą zobowiązane do wykonywania tego obowiązku w szerszym zakresie niż podmioty nieduże, mające mniejsze dostępne zasoby finansowe. 

Warto zawczasu sprawdzić skuteczność przyjętych w danej organizacji (np. firmie) procedur i dopracować sposób reakcji np. w sytuacji, w której ktoś poprosi o usunięcie swoich danych osobowych. Należy w tym wypadku ustalić, kto będzie podejmować decyzję o usunięciu danych oraz czy używany przez administratora system pomoże zlokalizować i usunąć te dane.

Kiedy powstaje – na podstawie „prawa do bycia zapomnianym” – obowiązek usunięcia danych?

Obowiązek usunięcia danych powstanie, gdy:

  • dane osobowe nie są już niezbędne do celów, do jakich je zebrano,
  • podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych, 
  • podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędneprawnie uzasadnione podstawy przetwarzania, 
  • dane osobowe były przetwarzane niezgodniez prawem, 
  • dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym lub krajowym przepisie prawnym (np. przepisach dotyczących niszczenia dokumentacji medycznej),
  • dane zostały zebrane w celu świadczenia usług internetowych dziecku.

Przykłady:

  • Kwiaciarnia internetowa, zbierając zamówieniana doręczenia kwiatów, gromadzi np. dane osobowe nadawcy oraz odbiorcy kwiatów, w tym adresy do doręczeń. Kobieta, której kwiaty zostały doręczone, dowiedziawszy się o przekazaniu jej danych przez przesyłającego kwiaty przyjaciela, zażądała natychmiastowego usunięcia jej danych, w tym z wszelkich posiadanych przez kwiaciarnię baz danych oraz kopii. Kwiaciarnia odmówiła usunięcia danych z wszystkich kopii, wskazując, że w razie ewentualnej przyszłej kontroli organu nadzorczego, będzie musiała przedstawić, w jaki sposób realizuje prawo do usunięcia danych. W ocenie kwiaciarni nie da się tego zrobić bez przetwarzania danych osób, które występują z takimi żądaniami. Czy e-kwiaciarnia miała prawo odmówić takiego żądania? Sytuacja ta dotyczy usuwanie danych osób trzecich. Realizacja obowiązków wynikających z RODO nie powinna być uzasadnieniem gromadzenia nadmiernej ilości danych osobowych. Kwiaciarnia, realizując zasadę rozliczalności, może gromadzić dane niezbędne do wykazania, iż dane usunęła. W tym przypadku mogą być to jednak logi, które nie prowadzą do konkretnego żądania, identyfikując daną osobę. Kwiaciarnia, chcąc dalej przetwarzać dane, nie może uzasadniać więc tego koniecznością rozliczenia się przed organem z wykonania obowiązków wynikających z RODO. Jedynym uzasadnieniem mogłaby być ochrona przed ewentualnymi przyszłymi roszczeniami.
  • Serwis (sklep) internetowy zajmuje się sprzedażą odzieży używanej online, przetwarzając dane niezbędnedo dokonania sprzedaży, w tym doręczenia ubrań kupującemu. Pan B, realizując przysługujące mu na podstawie RODO „prawo dobycia zapomnianym”, niezwłocznie po dokonaniu zakupów, zażądał usunięcia swoich danych z wszystkich baz oraz kopii zapasowych sklepu. Czy sklep ma obowiązek usunąć te dane? Sklep będzie mógł przetwarzać dane Pana B w bazie głównej oraz archiwalnej, a także w kopiach zapasowych, pomimo skierowanego żądania usunięcia danych w celu wykazania, że sprzedaż ubrań została dokonana. Zasadniczym celem kopii zapasowych jest jednak zapewnienie ciągłości funkcjonowania systemów informatycznych, nie mogą być one zatem utożsamiane z bazami archiwalnymi. Dane w kopiach zapasowych są więc przechowywane krótkotrwale i usuwane choćby przez nadpisywanie danych. Dane podane przez kupującego, takie jak: imię, nazwisko, adres dostawy i dane kontaktowe, mogą być wykorzystywane m.in. przy realizacji jego prawa do gwarancji bądź do ochrony sprzedawcy przed ewentualnymi przyszłymi roszczeniami. Póki istnieją podstawy doprzetwarzania danych, dopóty sklep może je w tych miejscach przetwarzać. Jednak, kiedy przestaną one istnieć, będzie on musiał usunąć dane ze wszystkich wspomnianych miejsc.
  • Przykładem sytuacji, kiedy osoba, której dane dotyczą, wycofuje udzieloną zgodę albo zgłasza sprzeciw, może być przypadek, gdy administrator danych osobowych przetwarza na podstawie zgody dane osobowe w celu marketingowym, a osoba, której dane dotyczą, wycofuje zgodę i korzysta z prawa do bycia zapomnianym. Wtedy administrator musi usunąć te dane.

Kiedy administrator danych nie będzie musiał zrealizować prawa dobycia zapomnianym?

W przypadku więc wykonania prawa do bycia zapomnianym, administrator danych powinien zaprzestać przetwarzania danych osobowych i usunąć dane, chyba że zachodzą szczególne przypadki ograniczające prawo do bycia zapomnianym. Istnieją bowiem sytuacje, kiedy administrator danych nie będzie musiał zrealizować prawa do bycia zapomnianym. Są to m.in. sytuacje, gdy przetwarzanie przez administratora jest wymagane przez prawo (unijne albo krajowe) bądź gdy jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Pełna lista wyłączeń zawarta jest w art. 17 ust. 3 RODO.

Przykłady:

  • Pracodawca ma obowiązek gromadzenia dokumentacji pracowniczej przez określony czas. W tym przypadku istnieje bowiem przepis prawa, który nakazuje przetwarzanie danych osobowych.
  • Klient sklepu internetowego zamówił towar, który otrzymał i za który zapłacił. Później chce wykonać prawo do bycia zapomnianym. W tej sytuacji administrator danych może jednak jego dane nadal przetwarzać, gdyż obowiązek przetwarzania danych wynika z przepisów o rachunkowości.
  • Klient sklepu internetowego zamówił towar, który otrzymał, lecz za który nie zapłacił. Później chce wykonać prawo do bycia zapomnianym. W tej sytuacji administrator danych może jednak jego dane nadal przetwarzać, gdyż jest mu to niezbędne do dochodzenia swoich praw przed sądem. 

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - motywy 65, 66 i 156 preambuły i art. 17.

 

Komentarze: Prawo do bycia zapomnianym

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Dodaj komentarz

Administratorem danych osobowych jest Legalsupport sp. z o.o. z siedzibą w Krakowie przy ul. Gabrieli Zapolskiej 36. Podane przez Użytkownika dane osobowe będą przetwarzane w celu realizacji umowy i w zakresie niezbędnym do świadczenia usług oraz w celach statystycznych. Podanie danych osobowych przez użytkownika jest dobrowolne. Użytkownik ma prawo dostępu do ich treści oraz poprawy.

Pomoc prawna online

Opinie naszych klientów

  • Anna

    ocena usługi:

    Szybko i sprawnie, a opinia napisana w sposób jasny i klarowny.
  • Marek Mikulski

    ocena usługi:

    jestem ogólnie bardzo zadowolony - zwłaszcza z wszechstronnej odpowiedzi, wobec czego bardzo dziękuję
  • Grzes

    ocena usługi:

    Fachowo, terminowo,profesjonalnie, polecam.
  • Jolanta

    ocena usługi:

  • Dorota

    ocena usługi:

    Dziękuję bardzo. Wszystko rzetelnie, a co najważniejsze komentarz w przystępnej formie. Następnym razem tylko e-prawnik.
  • Mirosław

    ocena usługi:

  • Jozef

    ocena usługi:

  • Mirosław

    ocena usługi:

  • Beata Jaroslawska

    ocena usługi:

    Profesjonalizm i fachowość, odpowiedz błyskawiczna, bardzo polecam Z poważaniem
  • Anna

    ocena usługi:

    Bardzo fachowa pomoc. Kontakt idealny. Polecam
  • Zbigniew

    ocena usługi:

    Opinia wydana terminowo, z wnioskami prawnymi podanymi w sposób jasny nawet dla nieprawników. Spełnia założenia przyjęte przeze mnie przy występowaniu z zapytaniem o jej wydanie.
  • Ryszard

    ocena usługi:

    Dziękuję! Opinia jest jasna i zadowalająca w treści. Polecam innym. Z powazaniem
  • Marta

    ocena usługi:

    Doskonały serwis i jakość usług. Otrzymałam niezwykle dogłębną i pomocną poradę prawną oraz odpowiedź na moje dodatkowe, powiązane pytanie. Polecam wszystkim, którzy potrzebują porady prawnika.
  • teti50

    ocena usługi:

    Polecam wszystkim potrzebujacym pomocy prawnej. Bardzo szybko otrzymalam odpowiedz na zadane pytanie.
  • Renata

    ocena usługi:

    Opinia przygotowana szybko, profesjonalnie, zrozumiale. POLECAM.
  • Zdzisława

    ocena usługi:

    Dziękuję za bardzo profesjonalną usługę prawną i wyczerpującą w pełni moje pytanie.Będę polecała napewno znajomym . Sama także skorzystam jeszcze z Państwa porad.
  • Paweł

    ocena usługi:





Informujemy, iż zgodnie z przepisem art. 25 ust. 1 pkt. 1 lit. b ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2006 r. Nr 90 poz. 631), dalsze rozpowszechnianie artykułów i porad prawnych publikowanych w niniejszym serwisie jest zabronione.

Zapytaj prawnika – skontaktujemy się z Tobą w ciągu godziny!

* pola wymagane