Ochrona danych osobowych w firmie i szkolenia ABI
Prawo do bycia zapomnianym – usunięcie danych jako ochrona prywatności

Prawo do bycia zapomnianym – usunięcie danych jako ochrona prywatności

Możliwość usunięcia danych w RODO

Pod pojęciem prawa do usunięcia danych (prawa do bycia zapomnianym) ukryta jest jedna z najczęściej komentowanych instytucji, jakie przewiduje RODO, mająca stanowić swoisty ukłon w kierunku ochrony prywatności wszystkich podmiotów danych, czyli w zasadzie każdego z nas. Art. 17 ust.1 stanowi, że — Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności […]. Okoliczności dopuszczające prawo do bycia zapomnianym to temat na odrębne rozważania, najpierw należy się zastanowić nad tym, czym owo usunięcie w ogóle jest i z jakimi obowiązkami jest powiązane. 

Zgodnie z art. 7 pkt 3 Ustawy o Ochronie Danych Osobowych przez usuwanie danych rozumie się zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Dalej ustawa nie precyzuje konkretnych sposobów usuwania danych, dlatego w praktyce przyjęła się pełna dowolność stosowanych środków. Administrator danych może, chociażby w tym celu posłużyć się niszczarką, a nawet zlecić zniszczenie dokumentacji wyspecjalizowanej firmie. Za usunięcie danych uważa się także ich nadpisanie, fizyczne zniszczenie odpowiednich nośników, a nawet anonimizację informacji. Jedyną przesłanką właściwego usunięcia będzie zawsze takie jego dokonanie, które w sposób absolutnie pewny uniemożliwia zidentyfikowanie osób, których dane dotyczą.

Źródło prawa do bycia zapomnianym

Ze względu na istotność omawianej regulacji, musimy się także pochylić nad samym źródłem wprowadzenia podobnej konstrukcji do aktu prawnego, który będzie przecież stosowany bezpośrednio we wszystkich krajach wspólnoty. Otóż kamieniem milowym w zakresie kontroli swoich danych w ramach prawa do bycia zapomnianym, był wyrok Wielkiej Izby Trybunału Sprawiedliwości Unii Europejskiej w sprawie — Gonzalez przeciwko Google. TSUE wskazał w sentencji swojego wyroku, min. że:

Osoba, której dotyczą dane, ma prawo do tego, aby dana dotycząca jej informacja nie była już, w aktualnym stanie rzeczy, powiązana z jej imieniem i nazwiskiem poprzez listę wyświetlającą wyniki wyszukiwania mającego za punkt wyjścia to imię i nazwisko, przy czym stwierdzenie, iż takie prawo przysługuje, pozostaje bez związku z tym, czy zawarcie na tej liście wyników wyszukiwania danej informacji wyrządza szkodę tej osobie. Ponieważ osoba ta może, ze względu na przysługujące jej i przewidziane w art. 7 i 8 karty prawa podstawowe, zażądać tego, aby dana informacja nie była już podawana do wiadomości szerokiego kręgu odbiorców poprzez zawarcie jej na takiej liście wyników wyszukiwania, prawa te są co do zasady nadrzędne nie tylko wobec interesu gospodarczego operatora wyszukiwarki internetowej, lecz również wobec interesu, jaki może mieć ten krąg odbiorców w znalezieniu tej informacji w ramach wyszukiwania prowadzonego w przedmiocie imienia i nazwiska tej osoby.

Od tej chwili każdy podmiot danych ma bardzo mocną podstawę do żądania faktycznego uniemożliwiania wyszukiwania informacji na podstawie swojego imienia i nazwiska. Trybunał uznał jednocześnie, że to prawo ulega pewnym ograniczeniem w stosunku do osób publicznych, niemniej doniosłość tego rozstrzygnięcia znalazła swoje odbicie właśnie w postaci art.17 RODO.

Poinformowanie administratorów przetwarzających dane osobowe

RODO obok prawa do żądania niezwłocznego usunięcia określonych danych osobowych przewiduje dodatkowy obowiązek wyraźnie wzmacniający prawo do bycia zapomnianym. Mianowicie, 17 ust.2 stanowi, że — Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Jeżeli administrator upublicznił posiadane dane osobowe i jednocześnie nastąpiła jedna z przesłanek wykorzystania prawa do bycia zapomnianym, to ten administrator jest zobowiązany do poinformowania o tym fakcie pozostałych przetwarzających również zobowiązanych do usunięcia wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. Należy wyraźnie podkreślić, że takie brzmienie przepisu rodzi szereg problemów praktycznych. Już na samym początku musimy się domyślać, co ustawodawca ukrył pod pojęciem upublicznienia danych osobowych. Z językowego punktu widzenia upublicznienie to podanie danych informacji do publicznej wiadomości w jakiejkolwiek formie. Jeżeli więc administrator danych dopuścił do możliwości zapoznania się z nimi na forum publicznym, np. poprzez umieszczenie danych na swoje stronie internetowej, zobowiązany będzie do przekazanie stosownej informacji pozostałym przetwarzającym.

Wskazany przepis rodzi ponadto szereg wątpliwości wynikających z użycia bardzo wielu nieostrych pojęć pozostawiających zdecydowanie zbyt dużą swobodę interpretacyjną. Otóż, zanim administrator
w ogóle będzie musiał poinformować pozostałych przetwarzających o konieczności usunięcia danych, to weźmie pod uwagę dostępną technologię i koszt realizacji tego obowiązku oraz podejmie rozsądne działania, w tym środki techniczne, by ostatecznie przekazać właściwą informację. Trudno jednoznacznie stwierdzić, jaka to technologia i jaki koszt realizacji zobowiązywałby do podjęcia omawianego obowiązku. Nie trudno przecież przewidzieć, że olbrzymia liczba administratorów będzie starała się wykazać brak posiadania odpowiednich narzędzi oraz środków, które wymuszałyby faktycznie poinformowanie pozostałych przetwarzających. Nie mniejszą trudność przysparza pojęcie rozsądnych działań zmierzających do ostatecznego poinformowania pozostałych administratorów. Niemożliwe jest wskazanie, kiedy odpowiednie czynności wyczerpią już definicję rozsądnego działania. Niestety na odpowiedź na powyższe pytania przyjdzie nam jeszcze chwilę poczekać do momentu, kiedy przyszły Prezes Urzędu Ochrony Danych Osobowych rozpocznie faktycznie swoją misję poprzez formowanie odpowiedniej linii interpretacyjnej, która pozwoli na praktyczne określenie niezbędnych standardów w ramach prawa do bycia zapomnianym.

Piotr Gutowski

Zaciekawił Cię ten artykuł? Przeczytaj inne wpisy na naszym blogu

 

Brand Manager