Prawo do bycia zapomnianym z punktu widzenia administratora danych

Prawo do bycia zapomnianym z punktu widzenia administratora danych

Prawo do bycia zapomnianym z punktu widzenia administratora danych

Unijne og├│lne rozporz─ůdzenie o ochronie danych (RODO) przewiduje wprost uprawnienie, kt├│re dotychczas nie by┼éo bezpo┼Ťrednio wyartyku┼éowane w przepisach unijnych ÔÇô prawo do usuni─Öcia danych, tzw. prawo do bycia zapomnianym. Na pierwszy rzut oka administratorzy danych mog─ů uzna─ç je za ca┼ékowicie nowe uprawnienie, jednak tak naprawd─Ö Trybuna┼é Sprawiedliwo┼Ťci Unii Europejskiej w 2014 roku orzek┼é, ┼╝e wynika ono ju┼╝ z przepis├│w dyrektywy 95/46/WE (poprzedniego aktu unijnego dotycz─ůcego ochrony danych osobowych, kt├│ry implementowa┼é polski ustawodawca).

Wszelkie w─ůtpliwo┼Ťci w zakresie mo┼╝liwo┼Ťci ┼╝─ůdania usuni─Öcia swoich danych rozwiewaj─ů przepisy RODO. W preambule rozporz─ůdzenia ustawodawca unijny podkre┼Ťli┼é prawo ka┼╝dej osoby fizycznej do bycia zapomnianym, o ile zatrzymanie jej danych narusza RODO, prawo Unii lub prawo Pa┼ästwa Cz┼éonkowskiego, kt├│remu podlega administrator. Uwypuklono zw┼éaszcza przypadek wyra┼╝enia zgody na przetwarzanie danych przez dziecko, tj. w braku pe┼énej ┼Ťwiadomo┼Ťci ryzyka zwi─ůzanego z przetwarzaniem danych osobowych i wskazano, ┼╝e w takiej sytuacji prawo do ┼╝─ůdania usuni─Öcia danych i zaprzestania wykonywania na nich operacji przetwarzania ma szczeg├│lne znaczenie.

Kiedy mo┼╝na ┼╝─ůda─ç usuni─Öcia danych?

Osoba, kt├│rej dane dotycz─ů, mo┼╝e za┼╝─ůda─ç od administratora niezw┼éocznego usuni─Öcia dotycz─ůcych jej danych, a administrator zobowi─ůzany jest bez zb─Ödnej zw┼éoki usun─ů─ç dane osobowe, o ile zaistnieje jedna z poni┼╝szych okoliczno┼Ťci:

  • dane osobowe nie s─ů ju┼╝ niezb─Ödne do cel├│w, w kt├│rych zosta┼éy zebrane lub w inny spos├│b przetwarzane;
  • osoba, kt├│re dotycz─ů dane, cofn─Ö┼éa zgod─Ö, na kt├│rej przetwarzanie jest oparte (dotyczy to tak┼╝e zgody na przetwarzanie tzw. danych wra┼╝liwych), a nie zachodzi inna podstawa prawna do przetwarzania jej danych;
  • osoba, kt├│rej dotycz─ů dane, wnosi na podstawie RODO sprzeciw wobec przetwarzania przez administratora danych w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania w┼éadzy publicznej powierzonej administratorowi b─ůd┼║ na podstawie prawnie uzasadnionego interesu administratora lub osoby trzeciej b─ůd┼║ ÔÇô o ile nie wyst─Öpuj─ů nadrz─Ödne prawnie uzasadnione podstawy przetwarzania;
  • osoba, kt├│re dotycz─ů dane, wnosi na podstawie RODO sprzeciw wobec przetwarzania jej danych na potrzeby marketingu bezpo┼Ťredniego;
  • dane osobowe by┼éy przetwarzane niezgodnie z prawem;
  • dane osobowe musz─ů zosta─ç usuni─Öte w celu wywi─ůzania si─Ö z obowi─ůzku prawnego przewidzianego w prawie Unii lub w prawie Pa┼ästwa Cz┼éonkowskiego, kt├│remu podlega administrator;
  • dane osobowe zosta┼éy zebrane w zwi─ůzku z oferowaniem dziecku us┼éug spo┼éecze┼ästwa informacyjnego.

┼╗─ůdanie usuni─Öcia danych – co dalej?

Ustawodawca unijny przewidzia┼é sytuacje, w kt├│rych realizacja prawa do bycia zapomnianym nie b─Ödzie konieczna. Administrator mo┼╝e bowiem odm├│wi─ç usuni─Öcia danych, o ile ich przetwarzanie jest niezb─Ödne:

  • do korzystania z prawa do wolno┼Ťci wypowiedzi i informacji ÔÇô wskazane wy┼é─ůczenie jest sp├│jne z za┼éo┼╝eniami przedstawionymi w preambule RODO, w kt├│rej podkre┼Ťlono, ┼╝e prawo do ochrony danych osobowych nie jest a charakteru bezwzgl─Ödnego i nie mo┼╝e narusza─ç m. in. wolno┼Ťci wypowiedzi i informacji;
  • do wywi─ůzania si─Ö z prawnego obowi─ůzku wymagaj─ůcego przetwarzania na mocy prawa Unii lub prawa Pa┼ästwa Cz┼éonkowskiego, kt├│remu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania w┼éadzy publicznej powierzonej administratorowi;
  • z uwagi na wzgl─Ödy interesu publicznego w dziedzinie zdrowia publicznego, tj. gdy:
  • przetwarzanie jest niezb─Ödne do cel├│w profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolno┼Ťci pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia spo┼éecznego, leczenia lub zarz─ůdzania systemami i us┼éugami opieki zdrowotnej lub zabezpieczenia spo┼éecznego na podstawie prawa Unii lub prawa pa┼ästwa cz┼éonkowskiego lub zgodnie z umow─ů z pracownikiem s┼éu┼╝by zdrowia;
  • przetwarzanie jest niezb─Ödne ze wzgl─Öd├│w zwi─ůzanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed powa┼╝nymi transgranicznymi zagro┼╝eniami zdrowotnymi lub zapewnienie wysokich standard├│w jako┼Ťci i bezpiecze┼ästwa opieki zdrowotnej oraz produkt├│w leczniczych lub wyrob├│w medycznych, na podstawie prawa Unii lub prawa pa┼ästwa cz┼éonkowskiego, kt├│re przewiduj─ů odpowiednie, konkretne ┼Ťrodki ochrony praw i wolno┼Ťci os├│b, kt├│rych dane dotycz─ů, w szczeg├│lno┼Ťci tajemnic─Ö zawodow─ů;
  • do cel├│w archiwalnych w interesie publicznym, do cel├│w bada┼ä naukowych lub historycznych lub do cel├│w statystycznych, o ile prawdopodobne jest, ┼╝e prawo do bycia zapomnianym uniemo┼╝liwi lub powa┼╝nie utrudni realizacj─Ö cel├│w takiego przetwarzania; lub
  • do ustalenia, dochodzenia lub obrony roszcze┼ä.

Administrator, kt├│ry otrzyma uzasadnione ┼╝─ůdania usuni─Öcia danych osobowych, w braku zaistnienia kt├│rekolwiek z powy┼╝szych wyj─ůtk├│w, zobowi─ůzany jest niezw┼éocznie usun─ů─ç dane osobowe wnioskodawcy. Co wi─Öcej, je┼Ťli administrator uprzednio te dane upubliczni┼é, ma obowi─ůzek ÔÇô bior─ůc pod uwag─Ö dost─Öpn─ů technologi─Ö i koszt realizacji ÔÇô podj─ů─ç rozs─ůdne dzia┼éania, w tym ┼Ťrodki techniczne, by poinformowa─ç administrator├│w przetwarzaj─ůcych te dane osobowe, ┼╝e osoba, kt├│rej dane dotycz─ů, ┼╝─ůda, by administratorzy ci usun─Öli wszelkie ┼é─ůcza do tych danych, kopie tych danych osobowych lub ich replikacje.

W przypadku, gdy administrator nie mo┼╝e spe┼éni─ç ┼╝─ůdania osoby, kt├│rej dane dotycz─ů, tj. gdy ┼╝─ůdanie jest nieuzasadnione lub zachodzi wskazany w RODO wyj─ůtek, ma obowi─ůzek poinformowa─ç wnioskodawc─Ö o przyczynach swojej odmowy.

Sankcje

Naruszenie przez administratora obowi─ůzku usuni─Öcia danych mo┼╝e spotka─ç si─Ö z bardzo surow─ů reakcj─ů organu nadzorczego. Kara pieni─Ö┼╝na za uchybienie omawianemu obowi─ůzkowi mo┼╝e wynie┼Ť─ç nawet 20 milion├│w euro, a w przypadku przedsi─Öbiorstwa ÔÇô do 4% jego ca┼ékowitego rocznego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wy┼╝sza). Pomimo ┼╝e obowi─ůzek realizacji prawa do bycia zapomnianym mo┼╝e okaza─ç si─Ö w praktyce niezwykle uci─ů┼╝liwy dla administrator├│w danych, ignorowanie tej regulacji mo┼╝e wi─ůza─ç si─Ö z dotkliwymi konsekwencjami finansowymi.

Anna Eliszewska┬á ÔÇô radca prawny, uko┼äczy┼éa ÔÇ×Praktyczne szkolenie z europejskiego Rozporz─ůdzenia o ochronie danych osobowychÔÇŁ