Prawo do bycia zapomnianym wg RODO

15/08/17

Artykuł 17 ust. 1 Rozporządzenia o ochronie danych osobowych (RODO) ustanawia prawo do usunięcia danych, znane również jako „prawo do bycia zapomnianym”

Prawo to może być realizowane przez podmiot danych, gdy spełniony jest jeden spośród następujących warunków:

  1. dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane lub są przetwarzane;
  2. podmiot danych wycofał zgodę na przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie;
  3. podmiot danych sprzeciwia się przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub
  4. podmiot danych sprzeciwia się przetwarzaniu jego danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania);
  5. przetwarzanie w inny sposób nie jest lub nie było zgodne z RODO lub innymi przepisami prawa;
  6. dane osobowe zostały zebrane w nawiązaniu do oferowania bezpośrednio osobom poniżej 16 lat usług społeczeństwa informatycznego (np. e-handel, portale społecznościowe)*.

 

*RODO zezwala państwom członkowskim ustalać niższą granicę wieku w tym zakresie. Polski ustawodawca planuje ustalić granicę wieku na 13 lat. 

 

"Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe (…)".

RODO, art. 17 ust. 1

„Administrator, który upublicznił dane osobowe, powinien być zobligowany do poinformowania administratorów, którzy przetwarzają te dane do usunięcia linków, kopii i odniesień do tych danych osobowych”.

RODO, art. 17 ust. 2

Na czym polega prawo do bycia zapomnianym wg RODO?

W teorii to prawo oznacza, że dane osób, które chciałyby zostać „zapomniane”, musiałyby być usunięte w całości z systemu administratora.

Co więcej, jeśli dane zostały opublikowane np. w Internecie, to administrator musiałby upewnić się, że wszystkie linki do tych informacji także zostały skasowane, a kopie i repliki pousuwane, nawet jeżeli są w posiadaniu innych podmiotów przetwarzających te dane w imieniu administratora. Nie wystarczy też dezaktywować lub ukryć profil danej osoby w mediach społecznościowych. Dane należy usunąć.

Dodatkowo Rozporządzenie obarcza administratorów danych osobowych odpowiedzialnością za usunięcie treści przechowywanych przez osoby trzecie jako formy zapewnienia realizacji praw przez osoby, których dane dotyczą.

Jakie wyzwania wiążą się z prawem do bycia zapomnianym?

Tak ujęte wymagania prawdopodobnie spowodują, że administratorzy, a także podmioty przetwarzające dane na ich polecenie, będą musieli zmodyfikować metody postępowania z danymi osobowymi. Skuteczne i kompletne procedury realizacji żądania bycia zapomnianym niewątpliwie będą olbrzymim wyzwaniem.

Biorąc pod uwagę potencjalną liczbę zgłoszeń, najwięcej problemów może przysporzyć zapewnienie szybkiej i efektywnej odpowiedzi na żądanie podmiotu danych. Wiele serwisów internetowych przechowuje ogromne ilości danych osobowych. Może się okazać, że organizacyjnie i technicznie trudno sobie poradzić z dużą ilością takich żądań w tym samym czasie. Dodatkowo używane od wielu lat systemy informatyczne mogą nie posiadać opcji usuwania danych.

Gorąco dyskutowane, ale uchwalone

Prawo do bycia zapomnianym było jednym z najgoręcej dyskutowanych aspektów RODO w okresie projektowania (zwłaszcza w świetle sprawy Gonzaleza, której rozstrzygnięcie przypadło na okres konsultacji RODO). Przede wszystkim dostawcy usług online i serwisów społecznościowych stawiali opór wobec tych zmian, które w pewnym sensie stanowią zagrożenie dla ich modeli biznesowych opierających się na wykorzystaniu danych osobowych w celach reklamowych i analitycznych.

Prawo do bycia zapomnianym również jest uważane za kolidujące, do pewnego stopnia, z wolnością wypowiedzi. Poza tym jest postrzegane jako narzędzie ucieczki od przeszłości, po które mogą sięgać różne osoby.

Niemniej jednak takie prawo zostało uchwalone. Teraz administratorzy muszą dostosować firmy i wewnętrzne procedury do celów realizacji praw podmiotu danych (pod rygorem nałożenia kar administracyjnych w wysokości do 20 mln euro lub 4% całkowitego rocznego obrotu światowego brutto, w zależności która jest wyższa).

Gonzalez przeciwko Google

13 maja 2014 roku Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w sprawie pomiędzy Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mariowi Costesze Gonzálezowi (sygn. C-131/12) orzekł, że obowiązująca obecnie Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady ustanawia prawo do sprzeciwu, w ramach którego mieści się „prawo do bycia zapomnianym”. Warto zwrócić uwagę, że wyrok ten zapadł w kontekście umieszczania danych osobowych na liście wyników wyszukiwarki internetowej.

Dyrektywa (zaimplementowana do obecnie obowiązującej polskiej ustawy o ochronie danych osobowych) stanowi, że podmiot danych może „w każdej chwili sprzeciwić się przetwarzaniu jego danych osobowych, na podstawie zgodnych z prawem przesłanek odnoszących się do jego konkretnej sytuacji”. Prawo do sprzeciwu zawarte w Dyrektywie zostało zastosowane przez kraje członkowskie w różny sposób. Często ona nie obejmowała absolutnego prawa do bycia zapomnianym. Jednak sprawa Gonzaleza potwierdziła, że osoba fizyczna ma możliwość wyrażenia sprzeciwu wobec przetwarzania danych osobowych oraz żądania usunięcia tych danych.

Skontaktuj się z nami

Anna Kobylańska
Counsel, Adwokat
Tel.: +48 519 506 226
Email

Obserwuj nas