Ochrona danych osobowych w firmie i szkolenia ABI
Prawo do bycia zapomnianym – przesłanki do usunięcia danych osobowych

Prawo do bycia zapomnianym – przesłanki do usunięcia danych osobowych

Przygotuj się do RODO

Na wstępie przypominamy, że zgodnie z Art. 17 ust.1 RODO podmiot danych, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzą określone w przepisie okoliczności. Abstrahując od tego czy administrator danych, sam powinien usunąć przetwarzane dane osobowe w ramach zasady ograniczenia ich przetwarzania, należy wskazać że istnieje sześć przesłanek, których zaistnienie warunkuje powstanie prawa do bycia zapomnianym, przy czym wystarczy, że zostanie spełniona jedna z nich, a są to:

Upadek cechy niezbędności przetwarzania danych osobowych

Podmiot danych będzie mógł żądać usunięcia informacji na swój temat kiedy nie będą już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. W praktyce powyższy przypadek w olbrzymim stopniu wpłynie na stosunki między administratorami a podmiotami danych, wymuszając na tych pierwszych działania do tej pory w zasadzie nieobecnie w obrocie.

Przykład:

  • zakończenie procesu rekrutacji, kiedy kandydat nie wyraził zgody na przetwarzanie danych osobowych w ramach innych rekrutacji;
  • zakończenie leczenia w placówce medycznej, kiedy pacjent dokonał wszelkich o płatności;
  • rozwiązanie umowy rachunku oszczędnościowego z bankiem, kiedy klient nie zalega
    żadnymi płatnościami;
  • usunięcie konta na portalu społecznościowym.

Wycofanie zgody na przetwarzanie danych osobowych

Podstawą żądania usunięcia danych osobowych jest także wycofanie zgody, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania. Co bardzo istotne podmiot danych będzie miał prawo na wycofanie zgody w dowolnym momencie i będzie musiał zostać o tym, zanim wyrazi zgodę, wycofanie zgody nie wpływa także na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Co więcej, wycofanie zgody musi być równie łatwe jak jej wyrażenie, czyli w przypadku wyrażenia zgody poprzez zaznaczenie odpowiedniego formularza, cofnięcie tak udzielonego pozwolenia powinno przybrać taki sam kształt i być dopuszczalne poprzez właściwe odznaczenie.

Przykład:

  • wycofanie zgody na otrzymywanie informacji handlowej od jednej z marek odzieżowych,
    poprzez odznaczenie odpowiedniego checkboxa;
  • wycofanie zgody na przetwarzanie danych udzielonej telefonicznie w ramach marketingu
    bezpośredniego poprzez jej ustne wycofanie również telefonicznie.

Wniesienie sprzeciwu

Dane osobowe będą musiały zostać usunięte również wtedy kiedy osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania. RODO przewiduje w art.21 prawo do sprzeciwu, stanowiące że – osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych. Niemniej z tego prawa sprzeciwu można skorzystać tylko, gdy administrator uzasadnia przetwarzanie danych tym, że:

  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  •  przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Tym samym nie będzie można wnieść skutecznego sprzeciwu do przetwarzania danych przykładowo, gdy dochodzi do niego na podstawie zgody podmiotu danych lub kiedy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Natomiast w przypadku skutecznego wniesienia sprzeciwu, administrator traci uprawnienie do przetwarzania tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Przykład:

  • wniesienie sprzeciwu wobec przekazywania danych osobowych innemu administratorowi;
  • wniesienie sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych.

Niezgodność z prawem

Okolicznością uprawniającą do usunięcia danych osobowych jest także ich przetwarzane niezgodnie z prawem. Niestety RODO nie wskazuje kto i w jakim trybie miałby oceniać, czy w danym przypadku doszło do naruszenia prawa w związku z przetwarzaniem danych osobowych. Administratorzy mogą wykorzystać tę niejasność i w większości przypadków odrzucać żądanie usunięcia danych w oparciu o tę właśnie przesłankę. Niemniej dopóki nie wykrystalizuje się niezbędna lina orzecznicza oraz praktyka stosowania przepisów, należy uznać, że każde zachowanie obiektywnie wyczerpujące kryterium pozaprawności, może stanowić powód do skutecznego domagania skorzystania z prawa do bycia zapomnianym.

Przykład:

  • przetwarzanie danych osobowych bez koniecznej podstawy prawnej;
  • udostępnienie lub umożliwienie udostepnienia danych osobowych osobom nieupoważnionym;
  • niepoinformowanie osoby, której dane dotycząc o jej prawach.

Wywiązanie się z obowiązku prawnego

Prawo do usunięcia danych może być usprawiedliwione również celem wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator danych. Tym samym jeżeli istnieje wskazany obowiązek usunięcia określonych danych, wynikający z ważnej podstawy prawnej funkcjonującej na terenie Wspólnoty, to wówczas mamy pełne prawo domagania się ich usunięcia. Ta przesłanka wydaje się o tyle specyficzna, ponieważ rodzi pytanie dlaczego administrator sam nie usuwa informacji, mimo istnienia takiego obowiązku. Można ostrożnie domniemywać, że z jakiegoś powodu nie jest świadomy takiej konieczności, co obok potencjalnej odpowiedzialności z tego tytułu, rodzi również konieczność usunięcia danych właśnie w ramach prawda do bycia zapomnianym.

Społeczeństwo informacyjne

Ostatnią z przesłanek jest zaistnienie sytuacji, w której dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku. Otóż RODO stanowi, że prawo do bycia zapomnianym ma także – znaczenie w przypadkach, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko, gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, w szczególności z Internetu. Osoba, której dane dotyczą, powinna móc wykonywać to prawo, mimo że już nie jest dzieckiem. Upraszczając, każdy kto będąc dzieckiem podzielił się informacjami na swój temat, może żądać bez jakiejkolwiek innej podstawy ich usunięcia w ramach prawa do bycia zapomnianym, już jako osoba dorosła.

Przykład:

  • założenie w wieku kilkunastu lat konta na portalu społecznościowym i późniejsze żądanie
    jego usunięcia;
  • wyrażenie zgody w wieku kilkunastu lat na przetwarzanie swoich zdjęć w ramach działalności
    gospodarczej prowadzonej przez znajomego fotografa, również w Internecie i późniejsze
    żądanie ich usunięcia.

Piotr Gutowski

Zaciekawił Cię ten artykuł? Przeczytaj inne wpisy na naszym blogu

Brand Manager