Żądanie usunięcia danych osobowych
Nasze dane osobowe są wykorzystywane w wielu instytucjach - bank, w którym mamy konto, firma telekomunikacyjna z którą podpisaliśmy umowę lub firma naszego pracodawcy. Jednym z podstawowych praw, przysługujących podmiotowi danych jest prawo do żądania usunięcia danych osobowych. Zostało ono określone w art. 17 RODO. Prawo to często jest nazywane prawem do bycia zapomnianym i również ma zastosowanie online.
Jeśli doszło do sytuacji, w której firma upubliczniła dane online, podmiot nadal może żądać ich usunięcia. W takim przypadku firmy te są zobowiązane do poinformowania innych firm (administratorów), które przetwarzają takie dane osobowe, o żądaniu usunięcia wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji.
Prawo do bycia zapomnianym - kto może z niego skorzystać?
Zgodnie z art. 17 RODO każda osoba, której dane osobowe są przetwarzane ma prawo żądania od administratora niezwłocznego usunięcia swoich danych osobowych. Natomiast Administrator ma obowiązek na takie żądanie odpowiedzieć, co nie zawsze wiąże się z jego uwzględnieniem, zgodnie z tym, co opisano w tym artykule poniżej.
Obowiązek usuwania danych na żądanie osoby, której dane dotyczą, powstaje, kiedy zachodzi jedna z następujących okoliczności:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę na przetwarzanie danych osobowych i nie istnieje inna podstawa przetwarzania danych;
- osoba, której dane dotyczą, zgłosiła sprzeciw wobec przetwarzania swoich danych w związku ze swoją szczególną sytuacją albo wobec przetwarzania danych dla celów marketingowych;
- dane osobowe były przetwarzane „niezgodnie z prawem”;
- dane osobowe "muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator";
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku.
Zdarza się, że administratorzy korzystają z z usług podwykonawców i jest to związane z przetwarzaniem danych osobowych. W takim przypadku każdy podwykonawca, który będzie odbiorcą żądania jest zobowiązany do niezwłocznego przekazania tego żądania administratorowi. Ma to duże znaczenie, ponieważ RODO wymaga by żądanie spełnienia prawa zostało rozpatrzone przez administratora niezwłocznie, nie później jednak niż w terminie miesiąca od jego otrzymania. W wyjątkowych przypadkach termin ten może zostać przedłużony, na zasadach określonych w art. 12 RODO, z uwagi na skomplikowany charakter żądania lub liczbę żądań, o kolejne dwa miesiące.
Usunięcie danych osobowych nie zawsze jest jednak możliwe, lub może nie być możliwe w pełnym zakresie. Należy zwrócić uwagę, że mimo zgłoszonego żądania, administrator nie zawsze może usunąć dane, które przetwarza. Ograniczenie realizacji prawa do bycia zapomnianym występuje m.in. gdy:
- administrator korzysta z prawa do wolności wypowiedzi i informacji (dotyczy to głównie działalności dziennikarskiej);
- istnieje przepis prawa, który nakazuje przetwarzanie danych osobowych (Administrator musi wywiązać się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi);
- przetwarzanie odbywa się dla celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych;
- przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
Czy numer telefonu to dane osobowe? Ważne stanowiska UODO i sądu
Jakie obowiązki ma administrator danych w związku z wpłynięciem żądania o usunięcie danych?
Zatem wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. Po pierwsze administrator musi zweryfikować, czy w ogóle przetwarza dane osobowe osoby składającej wniosek i czy nie istnieją żadne wątpliwości co do jej tożsamości. Jeżeli takie wątpliwości się pojawią, administrator ma prawo poprosić o dodatkowe dane na podstawie których będzie w stanie jednoznacznie zidentyfikować podmiot danych.
Gdy administrator danych dokona wstępnego etapu weryfikacji, zidentyfikuje dane osobowe osoby żądającej ich usunięcia i nie ma uzasadnionych wątpliwości co do tożsamości osoby składającej żądanie, powinien rozważyć jego zasadność. Samo złożenie żądania nie oznacza bowiem konieczności usunięcia danych osobowych osoby żądającej. Może także prowadzić do częściowego uwzględnienia takiego żądania, w zależności od danej sytuacji.
Często bowiem administrator danych przetwarza dane tej samej osoby w szerokim zakresie i w różnych celach. Po otrzymaniu wniosku o usunięcie danych osobowych, konieczne jest dokonanie weryfikacji, jakie dane są przetwarzane i w jakim zakresie mogą zostać usunięte. Np. wśród danych byłego pracownika, oprócz tych, których przechowywanie wymagane jest przepisami prawa może znajdować się również prywatny e-mail, czy numer telefonu byłego pracownika. Pracodawcy te dane nie są niezbędne, aby wywiązać się przestrzegania przepisów - powinien więc zrealizować wniosek usuwając te dane.
Na administratorze, w związku z realizacją procesu spełniania żądania usunięcia danych spoczywa także dodatkowy obowiązek, jeżeli administrator upublicznił dane objęte żądaniem ich usunięcia i ma obowiązek to usunięcie wykonać. W takiej sytuacji, administrator, biorąc pod uwagę dostępną technologię i koszt realizacji , zobowiązany jest podjąć rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o tym że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Każdy wniosek o usunięcie danych osobowych wymaga podejmowania indywidualnych decyzji. Na pewno warto, aby w tym zakresie wdrożyć i stosować odpowiednią procedurę, której celem byłoby usystematyzowanie działań podejmowanych przez administratora w ramach realizacji praw osób fizycznych w związku z przetwarzaniem ich danych (w tym realizacji żądania usunięcia danych osobowych). W procedurze można wyraźnie określić zakres odpowiedzialności poszczególnych osób biorących udział w procesie, szczegółowe zasady usuwania danych (w tym kopii zapasowych) i faktu odnotowania usunięcia danych osobowych.
Jak zrealizować prawo do usunięcia danych, jeżeli zostały one udostępnione innym podmiotom?
Zgodnie z przepisami o ochronie danych osobowych administrator ma obowiązek powiadomienia innych administratorów, którym udostępnił dane o fakcie usunięcia danych osobowych podmiotu danych, jeżeli usunięcie odbyło się na podstawie jednej z przesłanek wskazanych w art. 17 RODO.
Jak osoba której dane dotyczą powinna skonstruować wniosek o usunięcie danych?
Warto, aby osoba składające wniosek o usunięcie danych osobowych:
- określiła w nim strony, których rzecz dotyczy, a więc swoje dane jako osoby, która występuje z żądaniem, a także administratora danych osobowych,
- wskazała podstawę prawną prawa do bycia zapominanym tj. art. 17 RODO,
- zwięźle opisała relację, która ją łączy z administratorem danych,
- krótko uzasadniła zbędność dalszego przetwarzania swoich danych osobowych,
- zawarła pouczenie o skierowaniu sprawy do UODO w przypadku braku reakcji administratora.
Prawo do bycia zapomnianym jest jednym z najczęściej wykorzystywanych wśród podmiotów. Tylko w 2018 roku, pierwszym roku stosowania RODO odnotowano, że największa ilość żądań kierowanych do Administratorów stanowiła realizacja prawa do bycia zapomnianym.