Prawo do bycia zapomnianym z punktu widzenia administratora danych

Prawo do bycia zapomnianym z punktu widzenia administratora danych

Unijne ogólne rozporządzenie o ochronie danych (RODO) przewiduje wprost uprawnienie, które dotychczas nie było bezpośrednio wyartykułowane w przepisach unijnych – prawo do usunięcia danych, tzw. prawo do bycia zapomnianym. Na pierwszy rzut oka administratorzy danych mogą uznać je za całkowicie nowe uprawnienie, jednak tak naprawdę Trybunał Sprawiedliwości Unii Europejskiej w 2014 roku orzekł, że wynika ono już z przepisów dyrektywy 95/46/WE (poprzedniego aktu unijnego dotyczącego ochrony danych osobowych, który implementował polski ustawodawca).

Wszelkie wątpliwości w zakresie możliwości żądania usunięcia swoich danych rozwiewają przepisy RODO. W preambule rozporządzenia ustawodawca unijny podkreślił prawo każdej osoby fizycznej do bycia zapomnianym, o ile zatrzymanie jej danych narusza RODO, prawo Unii lub prawo Państwa Członkowskiego, któremu podlega administrator. Uwypuklono zwłaszcza przypadek wyrażenia zgody na przetwarzanie danych przez dziecko, tj. w braku pełnej świadomości ryzyka związanego z przetwarzaniem danych osobowych i wskazano, że w takiej sytuacji prawo do żądania usunięcia danych i zaprzestania wykonywania na nich operacji przetwarzania ma szczególne znaczenie.

Kiedy można żądać usunięcia danych?

Osoba, której dane dotyczą, może zażądać od administratora niezwłocznego usunięcia dotyczących jej danych, a administrator zobowiązany jest bez zbędnej zwłoki usunąć dane osobowe, o ile zaistnieje jedna z poniższych okoliczności:

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  • osoba, które dotyczą dane, cofnęła zgodę, na której przetwarzanie jest oparte (dotyczy to także zgody na przetwarzanie tzw. danych wrażliwych), a nie zachodzi inna podstawa prawna do przetwarzania jej danych;
  • osoba, której dotyczą dane, wnosi na podstawie RODO sprzeciw wobec przetwarzania przez administratora danych w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź na podstawie prawnie uzasadnionego interesu administratora lub osoby trzeciej bądź – o ile nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
  • osoba, które dotyczą dane, wnosi na podstawie RODO sprzeciw wobec przetwarzania jej danych na potrzeby marketingu bezpośredniego;
  • dane osobowe były przetwarzane niezgodnie z prawem;
  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub w prawie Państwa Członkowskiego, któremu podlega administrator;
  • dane osobowe zostały zebrane w związku z oferowaniem dziecku usług społeczeństwa informacyjnego.

Żądanie usunięcia danych – co dalej?

Ustawodawca unijny przewidział sytuacje, w których realizacja prawa do bycia zapomnianym nie będzie konieczna. Administrator może bowiem odmówić usunięcia danych, o ile ich przetwarzanie jest niezbędne:

  • do korzystania z prawa do wolności wypowiedzi i informacji – wskazane wyłączenie jest spójne z założeniami przedstawionymi w preambule RODO, w której podkreślono, że prawo do ochrony danych osobowych nie jest a charakteru bezwzględnego i nie może naruszać m. in. wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa Państwa Członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, tj. gdy:
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia;
  • przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo do bycia zapomnianym uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
  • do ustalenia, dochodzenia lub obrony roszczeń.

Administrator, który otrzyma uzasadnione żądania usunięcia danych osobowych, w braku zaistnienia którekolwiek z powyższych wyjątków, zobowiązany jest niezwłocznie usunąć dane osobowe wnioskodawcy. Co więcej, jeśli administrator uprzednio te dane upublicznił, ma obowiązek – biorąc pod uwagę dostępną technologię i koszt realizacji – podjąć rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

W przypadku, gdy administrator nie może spełnić żądania osoby, której dane dotyczą, tj. gdy żądanie jest nieuzasadnione lub zachodzi wskazany w RODO wyjątek, ma obowiązek poinformować wnioskodawcę o przyczynach swojej odmowy.

Sankcje

Naruszenie przez administratora obowiązku usunięcia danych może spotkać się z bardzo surową reakcją organu nadzorczego. Kara pieniężna za uchybienie omawianemu obowiązkowi może wynieść nawet 20 milionów euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Pomimo że obowiązek realizacji prawa do bycia zapomnianym może okazać się w praktyce niezwykle uciążliwy dla administratorów danych, ignorowanie tej regulacji może wiązać się z dotkliwymi konsekwencjami finansowymi.

Anna Eliszewska  – radca prawny, ukończyła „Praktyczne szkolenie z europejskiego Rozporządzenia o ochronie danych osobowych”