Poradnik Przedsiębiorcy

Czym w praktyce jest prawo do bycia zapomnianym?

Rozporządzenie o ochronie ochronie danych osobowych (RODO) ustanawia w swojej treści wiele praw dla osób fizycznych, których dane są przetwarzane. Jednym z takich uprawnień, jest tzw. prawo do bycia zapomnianym. Na czym ono polega? Sprawdźmy.

Czym jest prawo do bycia zapomnianym?

Prawo do bycia zapomnianym określone jest w art. 17 RODO i polega na tym, że osoba, której dane dotyczą, ma prawo:

  • żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych;
  • żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszystkie łącza do tych danych lub ich kopie.

Wskutek zgłoszenia żądania usunięcia danych osobowych, administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe. Administrator musi przy tym przedsięwziąć odpowiednie techniczne i organizacyjne środki pozwalające na całkowite usunięcie danych osoby, która korzysta z prawa do bycia zapomnianym.

Aby uznać, że czyjeś dane osobowe zostały całkowicie usunięte, należy je usunąć ze wszystkich miejsc, gdzie dane te się pojawiły, czyli z m.in.:

  • serwera,
  • poczty,
  • plików Word i Excel,
  • dysków zewnętrznych i przenośnych,
  • papierowych kopii.

Dotyczy to wszystkich kopii, linków, odniesień.

Należy mieć na uwadze, że nie musi dochodzić do wykorzystywania danych, ujawniania, rozpowszechniania, aby móc skutecznie zgłosić prawo do bycia zapomnianym, albowiem już samo przechowywanie danych osobowych, jest operacją, która daje możliwość zgłoszenia żądania usunięcia danych.

Dla wykonania przez administratora obowiązków, polegających na spełnieniu ww. żądań konieczna jest wiedza komu, w czasie trwania współpracy, przekazano przetwarzanie danych osoby, która wnosi o prawo do bycia zapomnianym. Świadomość ta jest konieczna, ponieważ administrator musi przekazać tym podmiotom wiadomość, aby także usunęli dane osoby zgłaszającej owo żądanie.

Czy administrator zawsze ma obowiązek usunąć dane osobowe na żądanie osoby, której dane dotyczą?

Obowiązek usuwania danych na żądanie osoby, której dane dotyczą, powstaje, kiedy zachodzi jedna z następujących okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, wycofała zgodę na przetwarzanie danych osobowych i nie istnieje inna podstawa przetwarzania danych;
  • osoba, której dane dotyczą, zgłosiła sprzeciw wobec przetwarzania swoich danych w związku ze swoją szczególną sytuacją albo wobec przetwarzania danych dla celów marketingowych;
  • dane osobowe były przetwarzane „niezgodnie z prawem”;
  • dane osobowe „muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrato”r;
  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku.

Jednakże podkreślić należy, że mimo zgłoszonego żądania, administrator nie zawsze ma obowiązek usunąć dane. Wśród przypadków ograniczających prawo do bycia zapomnianym na szczególną uwagę zasługują:

  • korzystanie z prawa do wolności wypowiedzi i informacji (dotyczy to głównie działalności dziennikarskiej);
  • istnienie przepisu prawa, który nakazuje przetwarzanie danych osobowych;
  • sytuacja, w której przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Tu przykładem może być choćby pracodawca, który ma obowiązek gromadzenia dokumentacji pracowniczej przez 50 lub 10 lat lub sprzedawca on-line, który mimo żądania kupującego dotyczącego usunięcia jego danych, będzie musiał przechowywać dane, takie jak m.in. imię, nazwisko, adres dostawy czy dane kontaktowe, albowiem mogą być one wykorzystywane m.in. przy realizacji jego prawa do gwarancji bądź do ochrony sprzedawcy przed ewentualnymi przyszłymi roszczeniami.

Innym przykładem może być też sytuacja, kiedy np. klient zamówił jakiś produkt przez sklep internetowy – produkt otrzymał, lecz nie zapłacił za niego, a po tym wystąpił do administratora o usunięcie jego danych. W tej sytuacji administrator także ma prawo dalej przetwarzać dane tego klienta, ponieważ będzie mu to niezbędne, aby dowodzić swoich roszczeń przed sądem.

Dopiero gdy ustaną podstawy do przetwarzania danych to administrator będzie musiał jej usunąć ze wszystkich wspomnianych wyżej miejsc.

Na czym polega i kiedy należy wykonać obowiązek polegający na sprostowaniu danych?

Należy także zwrócić uwagę na inny obowiązek administratorów, określony w art. 16 RODO. W świetle tego artykułu administratorzy zobowiązani są podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (tzw. zasada prawdziwości). Omawiana zasada wymaga, aby dane były poprawne, zgodne z prawdą. W tej sytuacji aktualizacja danych lub ich uzupełnienie zostaje zrealizowane na skutek odpowiedniego żądania/ zgłoszenia osoby, której dane dotyczą. Dla realizacji tego obowiązki administratorzy mogę więc udostępnić druki formularzy czy wzorów oświadczeń o zmianie takich danych.

Po podjęciu przez administratora działań polegających na usunięciu danych osobowych lub ich sprostowaniu administrator obowiązany jest także do poinformowania każdego odbiorcy, któremu ujawniono dane osobowe, o podjętych działaniach. Obowiązku tego administrator nie musi jednak wykonywać, jeżeli okaże się, że byłoby to niemożliwe lub jeżeli wymagałoby to nadmiernego wysiłku.