RODO kojarzy nam się zwykle z dodatkowymi obowiązkami – wypełnianiem zgód na wykorzystanie danych, kiedy składamy jakieś dokumenty albo koniecznością zaakceptowania wyskakujących na stronie internetowej okienek o ciasteczkach i polityce prywatności. RODO to jednak nie tylko obowiązki, ale przede wszystkim zbiór naszych praw. Administratorzy muszą spełnić obowiązek informacyjny, mogą przetwarzać dane wyłącznie w określonym czasie i zakresie. Obowiązują zasady niszczenia dokumentów po rekrutacji, procedury powierzania danych innemu podmiotowi itd. Wśród praw, jakie mamy jako właściciele danych, znajduje się prawo do bycia zapomnianym. Do czego się odnosi? W jakich sytuacjach jest respektowane, a kiedy nie ma zastosowania?
Na czym polega prawo do bycia zapomnianym?
Prawo do bycia zapomnianym inaczej nazywa się prawem do usunięcia danych. Jest szczegółowo opisane w art. 17. Rozporządzenia o ochronie danych osobowych (RODO).
Na czym polega prawo do bycia zapomnianym? Osoba, do której należą dane, ma prawo zażądać od administratora niezwłocznego usunięcia informacji na swój temat. Musi jednak zostać spełniony jeden z poniższych warunków:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
- osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Ostatni podpunkt dotyczy sytuacji, w której zgodę na przetwarzanie danych złożyło dziecko. Już jako osoba dorosła może bez żadnych innych przyczyn żądać usunięcia danych.
Co więcej, jeśli administrator danych osobowych upublicznił dane osoby chcącej skorzystać z prawa do zapomnienia, powinien nie tylko usunąć informacje z własnej bazy, ale też poinformować administratorów, którym je powierzył, o zaistniałej sytuacji. Robiąc to, musi wziąć pod uwagę dostępną technologię i koszt realizacji procesu, podejmować rozsądne działania, aby pozostali administratorzy usunęli wszelkie linki do danych, kopie i replikacje. Prawo nie definiuje jednak dokładnie, jakie są granice kosztów i co należy rozumieć przez rozsądne działania – każdy przypadek warto więc rozpatrywać indywidualnie.
Kiedy prawo do bycia zapomnianym może nam się przydać? Np. kiedy nasze dane trafiły do bazy telemarketerów, których ofertą nie jesteśmy zainteresowani. W takich sytuacjach zawsze mamy prawo zapytać, kto jest administratorem naszych danych i żądać ich usunięcia z bazy.
Prawo do bycia zapomnianym – kiedy administrator nie jest zobowiązany do usunięcia danych?
Odpowiedź na to pytanie również znajdziemy w artykule 17. RODO. Administrator nie jest zobowiązany do usunięcia danych osobowych, gdy przetwarzanie jest niezbędne:
- do korzystania z prawa do wolności wypowiedzi i informacji;
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
- do ustalenia, dochodzenia lub obrony roszczeń.
Administrator, który powołując się na jedną z tych okoliczności, uzna, że żądanie usunięcia danych nie ma uzasadnienia, jest zobowiązany pisemnie poinformować o tym wnioskującego. Decyzję powinien także uargumentować.
Może się np. zdarzyć, że obowiązek przechowywania danych nakładają na administratora inne przepisy. Przykładem jest pracodawca dysponujący dokumentacją pracowniczą (należy ją przechowywać przez określony czas) albo dziennikarz, który może powołać się na konieczność przetwarzania danych zgodnie z prawem do wolności wypowiedzi i informacji.
