wtorek, 3 kwietnia 2018

Prawo do bycia zapomnianym - zmiany w danych osobowych cz. 9

Prawo do bycia zapomnianym jest instytucją , która w swej treści zawiera uprawnienie do żądania usunięcia danych osobowych podmiotu jak i zarówno szereg obowiązków po stronie administratora. Przypominamy, że w uproszczeniu ujmując, administratorem jest ten podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Prawo do bycia zapomnianym wynika z art. 17 Rozporządzenia Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli z tzw. RODO. Inne posty na temat RODO do przeczytania tu (klik).

Podmiot, którego dane osobowe dotyczą ma prawo żądać od administratora danych osobowych niezwłocznego usunięcia dotyczących jego osoby danych osobowych, a administrator jest zobowiązany bez zbędnej zwłoki usunąć takie dane osobowe. Do usunięcia może dojść w przypadku, gdy:
  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania;
  3. osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
  4. dane osobowe były przetwarzane niezgodnie z prawem;
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
 
W przypadku wniesienia przez osobę, której dane osobowe dotyczą, żądania usunięcia danych, jeżeli administrator danych osobowych upubliczniał te dane, wówczas zgodnie z art. 17 ust. 2 RODO ma obowiązek powiadomienia administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, aby administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Ustawodawca unijny wskazuje, że do wykonania tego obowiązku administrator podejmuje rozsądne działania, biorąc pod uwagę dostępną technologię i koszt realizacji, w tym środki techniczne.
 
Wprowadzone uprawnienie żądania usunięcia danych obejmuje obowiązek administratora usunięcia danych osobowych podmiotu zgłaszającego żądanie nie tylko z cyfrowych baz danych, ale również wszelkich nośników, w tym także papierowych, dokumentów, plików, ankiet, wydruków, e-maili a nawet notatek, które zawierają dane osobowe podmiotu żądającego. Jest to zupełne i całościowe usunięcie wszelkich chronionych danych osobowych w zakresie nośników czy elektronicznych czy papierowych, co oznacza "zniknięcie" danej osoby ze zbioru danych.
 
Wypełnienie tego obowiązku w tak szerokim zakresie powoduje konieczność dokonania weryfikacji wszelkich posiadanych nośników, a nie tylko cyfrowych baz danych, w zakresie zawartych w nich danych osobowych.
 
Należy pamiętać, że o ile duże przedsiębiorstwa w ramach swojej działalności posiadają często cyfrowe bazy danych, wraz z zebranymi danymi osobowymi, to w przypadku przedsiębiorców małych i średnich jest to często zjawisko mniej zelektronizowane, przez co konieczność wykonania obowiązku usunięcia danych będzie większym utrudnieniem.
 
 
Nie można wykluczyć, że nałożony na administratorów danych osobowych taki obowiązek będzie wiązał się z koniecznością wprowadzania dodatkowych programów, w zakresie zbierania i szybszego usuwania zgromadzonych danych osobowych na żądanie uprawnionego podmiotu. Wiązać się to może także z koniecznością zatrudnienia dodatkowych osób, których zadaniem będzie usystematyzowanie oraz przystosowanie obecnie zebranych danych osobowych do wymogów, jakie wprowadza RODO w tym zakresie.
 
Podkreślić należy, iż prawo do usunięcia danych osobowych nie stanowi całkowitego novum w ustawodawstwie polskim, gdyż w obecnie obowiązującej ustawie z dnia 29 sierpnia 1997 roku – o ochronie danych osobowych, zostało uregulowane prawo do żądania usunięcia danych osobowych z prowadzonej bazy danych – art. 32 ustawy. Jednakże dotychczas, pomimo zastrzeżonych w cytowanej ustawie środków kontroli wykonania żądania osoby, której dane dotyczą, w praktyce nie dało się ustalić czy dane żądanie w pełnym zakresie zostało wykonane przez zobowiązanego. Jest to zagrożenie, które w pewnym zakresie ciąży także nad regulacją zawartą w RODO i w tym zakresie można liczyć tylko na prewencyjne działanie przewidzianych wysokich sankcji pieniężnych dla podmiotów łamiących te regulacje.
 
 
Uprawnienie wynikające z art. 17 RODO, nie jest prawem o charakterze bezwzględnym, gdyż posiada wyłączenia w zakresie swojego zastosowania, dotyczące przetwarzania danych, które jest niezbędne:
 
  1. do korzystania z prawa do wolności wypowiedzi i informacji;
  2. do wywiązywania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa unijnego lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo do żądania usunięcia danych osobowych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
  5. do ustalenia, dochodzenia lub obrony roszczeń.
Zatem uprawnienie podmiotu do żądania usunięcia jego danych osobowych nie jest prawem bezwzględnym, a ograniczenia zostały sformułowane w sposób ogólnikowy i szeroki, celem zapewnienia ochrony nie tylko interesów osób korzystających z prawa do bycia zapomnianym, ale także interesu administratorów oraz szeroko pojętego interesu ogólnego.

Anna Dudkiewicz  
prawnik
 
 
 

Brak komentarzy:

Prześlij komentarz

Prosimy o pozostawienie komentarza w temacie posta. Jesteśmy wdzięczni za Państwa opinie.

W tym miejscu nie udzielamy indywidualnych porad prawnych. Jeśli jesteście Państwo zainteresowani pomocą prawną, prosimy o mailowy (blog@zdanowiczlegal.pl) lub telefoniczny (+22 525 84 44) kontakt z Kancelarią. Koszt pomocy prawnej uzależniony jest od stopnia skomplikowania, charakteru sprawy i nakładu pracy prawnika. Udzielamy także e-porady.

Posty są aktualne w dniu ich publikacji. Nie odpowiadamy za późniejsze zmiany prawa.