Prawo do bycia zapomnianym

Zgodnie z treścią art. 17 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), każda osoba fizyczna może żądać „bycia zapomnianym”, jeżeli zatrzymywanie jej danych naruszałoby postanowienia rozporządzenia RODO, prawo UE lub prawo państwa członkowskiego, któremu podlega administrator.

Przesłanki skorzystania z prawa do bycia zapominanym

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  2. osoba, której dane dotyczą, cofnęła zgodę, na której opierało się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
  3. osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania dotyczących jej danych osobowych:
    1. z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na interesie publicznym lub prawnie uzasadnionych interesach i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub
    2. wobec przetwarzania jej danych osobowych na potrzeby marketingu bezpośredniego;
  4. dane osobowe były przetwarzane niezgodnie z prawem;
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.
Poinformowanie innych administratorów

Jeżeli administrator upublicznił dane osobowe, w wyniku wykonania prawa do bycia zapomnianym ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje (art. 17 ust. 2 RODO).

Aby wzmocnić prawo do „bycia zapomnianym” w Internecie, RODO rozszerza prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. Administrator danych – czyniąc zadość temu obowiązkowi – winien podjąć racjonalne działania z uwzględnieniem dostępnych środków i technologii, w tym dostępnych środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą.

Zgoda udzielona jako dziecko

Prawo to ma szczególne znaczenie wówczas, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko i nie była w pełni świadoma ryzyka związanego z przetwarzaniem danych, a w późniejszym czasie chce takie dane osobowe usunąć. Osoba, której dane dotyczą, powinna móc wykonywać to prawo, mimo że już nie jest dzieckiem.

Wyłączenie prawa do bycia zapomnianym

Zgodnie z treścią art. 17 ust. 3 RODO, prawo do bycia zapomnianym nie ma zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  2. osoba, której dane dotyczą, cofnęła zgodę, na której opierało się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
  3. osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania dotyczących jej danych osobowych:
    1. z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na interesie publicznym lub prawnie uzasadnionych interesach i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub
    2. wobec przetwarzania jej danych osobowych na potrzeby marketingu bezpośredniego;
  4. dane osobowe były przetwarzane niezgodnie z prawem;
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

Dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do korzystania z wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego, do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.

Prawo do bycia zapomnianym – na etapie projektowania – było jednym z najgoręcej dyskutowanych aspektów RODO. Największymi oponentami prawa do bycia zapomnianym byli dostawcy usług online i serwisów społecznościowych, bowiem ich modele biznesowe opierają się na wykorzystaniu danych osobowych w celach reklamowych i analitycznych.

Aby wymusić przestrzeganie m.in. prawa do bycia zapomnianym, rzecznicy ochrony danych osobowych (w Polsce – Generalny Inspektor Ochrony Danych Osobowych) będą mogli nakładać surowe kary na podmioty, które dopuszczają się naruszeń. Kary administracyjne mogą wynieść do 20.000.000 Euro lub – w przypadku przedsiębiorców – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 5 RODO).

Autor: Paulina Ochal

CHCESZ DOWIEDZIEĆ SIĘ WIĘCEJ O RODO W TWOJEJ FIRMIE?
Prześlij nam swoje dane kontaktowe, skontaktujemy się.