Prawo do bycia zapomnianym

Na czym polega prawo do usunięcia danych?

RODO przyznaje osobom, których dane dotyczą, prawo do usunięcia danych, w tym prawo do bycia zapomnianym.

Prawo do bycia zapomnianym jest jednym z nowych uprawnień przyznanych przez RODO osobom, których dane dotyczą.

Zgodnie z przepisami RODO, osoba taka ma prawo w przypadkach opisanych w RODO żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, zaś administrator ma obowiązek bez zbędnej zwłoki te dane osobowe usunąć.

Prawo do bycia zapomnianym obejmuje także prawo do żądania od administratora, który upublicznił dane (np. wyszukiwarkę internetową), żeby ten podjął działania w celu poinformowania innych administratorów przetwarzających te dane, że podmiot danych żąda ich usunięcia (tj żąda, aby administratorzy ci usunęli wszelkie łącza do tych danych bądź ich kopie).

Administrator musi zapewnić odpowiednie techniczne i organizacyjne środki pozwalające na całkowite usunięcie danych osoby, która korzysta z prawa do bycia zapomnianym. Należy usunąć dane ze wszystkich miejsc, a więc m.in. z: serwera, poczty, plików Word i Excel, dysków zewnętrznych i przenośnych, ale też z papierowych kopii.

Samo przechowywanie przez administratora danych nadal kwalifikowane jest jako przetwarzanie danych osobowych. Dane osobowe muszą być także usuwane ze wszystkich kopii zapasowych oraz logów.

Jeśli usuwanie z kopii zapasowych pojedynczych rekordów grozi naruszeniem integralności pozostałych gromadzonych danych, to administrator może manualnie przywracać kopie do bazy głównej, a potem usuwać z nich pojedyncze rekordy i „backupować” bazy zmniejszone o ten rekord, chociaż jest to dość czasochłonny proces.

Niezbędna jest także wiedza, komu w czasie trwania współpracy, przekazano przetwarzanie danych osoby, która wnosi o prawo do bycia zapomnianym. Obowiązkiem administratora jest poinformowanie podmiotów przetwarzających (np. dostawców, firmę obsługującą newslettera), żeby także usunęli dane tej osoby. Obowiązek ten jednak nie jest nieograniczony – może być ograniczony przez: dostępną technologię, koszty czy konieczność ograniczenia do rozsądnych działań (tj. nie jest bezwzględnie konieczne takie zawiadomienie, ale jest tylko obowiązek starannego działania w tym celu). Ograniczenie zakresu obowiązku przy użyciu kryterium kosztów powoduje, że podmioty większe, o większych możliwościach finansowych, będą zobowiązane do wykonywania tego obowiązku w szerszym zakresie niż podmioty nieduże, mające mniejsze dostępne zasoby finansowe. 

Warto zawczasu sprawdzić skuteczność przyjętych w danej organizacji (np. firmie) procedur i dopracować sposób reakcji np. w sytuacji, w której ktoś poprosi o usunięcie swoich danych osobowych. Należy w tym wypadku ustalić, kto będzie podejmować decyzję o usunięciu danych oraz czy używany przez administratora system pomoże zlokalizować i usunąć te dane.

Kiedy powstaje – na podstawie „prawa do bycia zapomnianym” – obowiązek usunięcia danych?

Obowiązek usunięcia danych powstanie, gdy:

  • dane osobowe nie są już niezbędne do celów, do jakich je zebrano,
  • podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych, 
  • podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędneprawnie uzasadnione podstawy przetwarzania, 
  • dane osobowe były przetwarzane niezgodniez prawem, 
  • dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym lub krajowym przepisie prawnym (np. przepisach dotyczących niszczenia dokumentacji medycznej),
  • dane zostały zebrane w celu świadczenia usług internetowych dziecku.

Przykłady:

  • Kwiaciarnia internetowa, zbierając zamówieniana doręczenia kwiatów, gromadzi np. dane osobowe nadawcy oraz odbiorcy kwiatów, w tym adresy do doręczeń. Kobieta, której kwiaty zostały doręczone, dowiedziawszy się o przekazaniu jej danych przez przesyłającego kwiaty przyjaciela, zażądała natychmiastowego usunięcia jej danych, w tym z wszelkich posiadanych przez kwiaciarnię baz danych oraz kopii. Kwiaciarnia odmówiła usunięcia danych z wszystkich kopii, wskazując, że w razie ewentualnej przyszłej kontroli organu nadzorczego, będzie musiała przedstawić, w jaki sposób realizuje prawo do usunięcia danych. W ocenie kwiaciarni nie da się tego zrobić bez przetwarzania danych osób, które występują z takimi żądaniami. Czy e-kwiaciarnia miała prawo odmówić takiego żądania? Sytuacja ta dotyczy usuwanie danych osób trzecich. Realizacja obowiązków wynikających z RODO nie powinna być uzasadnieniem gromadzenia nadmiernej ilości danych osobowych. Kwiaciarnia, realizując zasadę rozliczalności, może gromadzić dane niezbędne do wykazania, iż dane usunęła. W tym przypadku mogą być to jednak logi, które nie prowadzą do konkretnego żądania, identyfikując daną osobę. Kwiaciarnia, chcąc dalej przetwarzać dane, nie może uzasadniać więc tego koniecznością rozliczenia się przed organem z wykonania obowiązków wynikających z RODO. Jedynym uzasadnieniem mogłaby być ochrona przed ewentualnymi przyszłymi roszczeniami.
  • Serwis (sklep) internetowy zajmuje się sprzedażą odzieży używanej online, przetwarzając dane niezbędnedo dokonania sprzedaży, w tym doręczenia ubrań kupującemu. Pan B, realizując przysługujące mu na podstawie RODO „prawo dobycia zapomnianym”, niezwłocznie po dokonaniu zakupów, zażądał usunięcia swoich danych z wszystkich baz oraz kopii zapasowych sklepu. Czy sklep ma obowiązek usunąć te dane? Sklep będzie mógł przetwarzać dane Pana B w bazie głównej oraz archiwalnej, a także w kopiach zapasowych, pomimo skierowanego żądania usunięcia danych w celu wykazania, że sprzedaż ubrań została dokonana. Zasadniczym celem kopii zapasowych jest jednak zapewnienie ciągłości funkcjonowania systemów informatycznych, nie mogą być one zatem utożsamiane z bazami archiwalnymi. Dane w kopiach zapasowych są więc przechowywane krótkotrwale i usuwane choćby przez nadpisywanie danych. Dane podane przez kupującego, takie jak: imię, nazwisko, adres dostawy i dane kontaktowe, mogą być wykorzystywane m.in. przy realizacji jego prawa do gwarancji bądź do ochrony sprzedawcy przed ewentualnymi przyszłymi roszczeniami. Póki istnieją podstawy doprzetwarzania danych, dopóty sklep może je w tych miejscach przetwarzać. Jednak, kiedy przestaną one istnieć, będzie on musiał usunąć dane ze wszystkich wspomnianych miejsc.
  • Przykładem sytuacji, kiedy osoba, której dane dotyczą, wycofuje udzieloną zgodę albo zgłasza sprzeciw, może być przypadek, gdy administrator danych osobowych przetwarza na podstawie zgody dane osobowe w celu marketingowym, a osoba, której dane dotyczą, wycofuje zgodę i korzysta z prawa do bycia zapomnianym. Wtedy administrator musi usunąć te dane.

Kiedy administrator danych nie będzie musiał zrealizować prawa dobycia zapomnianym?

W przypadku więc wykonania prawa do bycia zapomnianym, administrator danych powinien zaprzestać przetwarzania danych osobowych i usunąć dane, chyba że zachodzą szczególne przypadki ograniczające prawo do bycia zapomnianym. Istnieją bowiem sytuacje, kiedy administrator danych nie będzie musiał zrealizować prawa do bycia zapomnianym. Są to m.in. sytuacje, gdy przetwarzanie przez administratora jest wymagane przez prawo (unijne albo krajowe) bądź gdy jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Pełna lista wyłączeń zawarta jest w art. 17 ust. 3 RODO.

Przykłady:

  • Pracodawca ma obowiązek gromadzenia dokumentacji pracowniczej przez określony czas. W tym przypadku istnieje bowiem przepis prawa, który nakazuje przetwarzanie danych osobowych.
  • Klient sklepu internetowego zamówił towar, który otrzymał i za który zapłacił. Później chce wykonać prawo do bycia zapomnianym. W tej sytuacji administrator danych może jednak jego dane nadal przetwarzać, gdyż obowiązek przetwarzania danych wynika z przepisów o rachunkowości.
  • Klient sklepu internetowego zamówił towar, który otrzymał, lecz za który nie zapłacił. Później chce wykonać prawo do bycia zapomnianym. W tej sytuacji administrator danych może jednak jego dane nadal przetwarzać, gdyż jest mu to niezbędne do dochodzenia swoich praw przed sądem. 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - motywy 65, 66 i 156 preambuły i art. 17.

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika