Prawo do bycia zapomnianym – kiedy można domagać się usunięcia danych?
Jednym z kluczowych praw, jakie daje RODO obywatelom Unii Europejskiej, jest prawo do bycia zapomnianym, określone w artykule 17 rozporządzenia. Umożliwia ono osobom fizycznym żądanie usunięcia ich danych osobowych w określonych sytuacjach. Ale kiedy dokładnie można skorzystać z tego prawa i jakie obowiązki z tego wynikają dla administratorów danych?
Prawo do bycia zapomnianym to właściwie synonim prawa do usunięcia danych osobowych. Oznacza ono, że mimo udostępnienia gdzieś naszych danych, nie będą one przetwarzane bezterminowo przez osoby trzecie. Osoba, której dane są przetwarzane, może w określonych przypadkach wystąpić o ich usunięcie.
Zgodnie z RODO, administrator danych ma obowiązek niezwłocznego usunięcia danych osobowych, jeśli zachodzi jedna z następujących okoliczności:
-
Dane nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Oznacza to, że gdy administrator osiągnie cele przetwarzania, powinien zaprzestać dalszego przetwarzania i usunąć dane.
-
Osoba, której dane dotyczą, cofnęła zgodę na przetwarzanie i nie ma innej podstawy prawnej przetwarzania. Jeśli podstawą przetwarzania była zgoda osoby, a ta została wycofana, a administrator nie ma innej podstawy do dalszego przetwarzania, musi on usunąć te dane.
-
Osoba wniosła skuteczny sprzeciw wobec przetwarzania. Jeśli osoba sprzeciwi się przetwarzaniu danych, np. w celach marketingu bezpośredniego, a administrator nie ma nadrzędnych prawnie uzasadnionych podstaw do dalszego przetwarzania, musi on usunąć te dane.
-
Dane były przetwarzane niezgodnie z prawem. Jeśli administrator stwierdzi, że dane były przetwarzane z naruszeniem przepisów, musi je usunąć.
-
Dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego. Jeśli istnieje przepis prawa, który nakłada na administratora obowiązek usunięcia danych, musi on tego dokonać.
-
Dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego osobom poniżej 16 roku życia. W przypadku danych dzieci zebranych w związku z oferowaniem im usług online, administrator musi usunąć te dane na żądanie.
Należy pamiętać, że prawo do bycia zapomnianym nie jest bezwzględne. Istnieją bowiem sytuacje, w których administrator może odmówić usunięcia danych. Dzieje się tak, gdy przetwarzanie jest niezbędne:
- Do korzystania z prawa do wolności wypowiedzi i informacji.
- Do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator.
- Do ustalenia, dochodzenia lub obrony roszczeń.
Według ekspertów, administrator danych, który otrzyma żądanie usunięcia, powinien w pierwszej kolejności zweryfikować, czy faktycznie przetwarza dane osobowe wnioskodawcy oraz czy żądanie pochodzi od uprawnionej osoby. Następnie musi ocenić, czy zachodzi któraś z przesłanek umożliwiających usunięcie danych.
Obowiązki administratora po otrzymaniu żądania usunięcia danych
Zgodnie z RODO, administrator musi bez zbędnej zwłoki usunąć dane osobowe, jeśli zachodzi jedna z wymienionych wcześniej przesłanek. Co więcej, musi on również poinformować o tym fakcie osobę, która złożyła żądanie.
Artykuł 12 RODO nakłada na administratora obowiązek udzielenia osobie, która złożyła żądanie, informacji o działaniach podjętych w związku z jej wnioskiem w terminie miesiąca od jego otrzymania. W uzasadnionych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące.
Jeśli administrator odmówi usunięcia danych, musi poinformować o tym osobę, podając przyczyny odmowy. Wówczas osoba, której dane dotyczą, może zwrócić się do organu nadzorczego z wnioskiem o nakazanie spełnienia tego żądania.
Warto podkreślić, że obowiązek usunięcia danych nie ogranicza się wyłącznie do danych przechowywanych przez samego administratora. Zgodnie z RODO, administrator musi również poinformować innych administratorów, którzy uzyskali te dane w wyniku ich upublicznienia, o konieczności usunięcia wszelkich łączy, kopii czy replikacji tych danych.
Oczywiście, stopień realizacji tego obowiązku zależy od dostępnej technologii i kosztów, jakie musiałby ponieść administrator. Niemniej musi on podjąć rozsądne działania, aby poinformować innych administratorów o konieczności usunięcia danych.
Prawo do bycia zapomnianym a działalność telemarketingowa
Prawo do usunięcia danych osobowych stanowi istotne ograniczenie dla działalności telemarketingowej. Zgodnie z RODO, jeśli dane są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec takiego przetwarzania.
W przypadku zgłoszenia takiego sprzeciwu, administrator nie może już przetwarzać danych osobowych do celów marketingu bezpośredniego. Oznacza to, że musi on usunąć dane danej osoby ze swoich list i zaprzestać kierowania do niej jakichkolwiek działań marketingowych.
Analogiczna sytuacja występuje, gdy podstawą przetwarzania była zgoda osoby na otrzymywanie komunikatów marketingowych. W momencie wycofania tej zgody, administrator musi zaprzestać przetwarzania danych do celów marketingowych.
Warto również pamiętać, że prawo telekomunikacyjne nakłada dodatkowe wymogi na podmioty prowadzące działalność telemarketingową. Wymaga ono odrębnej zgody na wykonywanie połączeń w celach marketingowych oraz zakazuje przesyłania niezamówionych informacji handlowych drogą elektroniczną.
Zatem prawo do bycia zapomnianym w znacznym stopniu ogranicza możliwości prowadzenia działań telemarketingowych przez administratorów danych. Podmioty zajmujące się marketingiem muszą zatem szczególnie uważać na respektowanie praw podmiotów danych, by uniknąć poważnych konsekwencji prawnych.
Orzecznictwo TSUE a prawo do bycia zapomnianym
Kwestia prawa do bycia zapomnianym była również przedmiotem rozstrzygnięć Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Warto przyjrzeć się dwóm kluczowym wyrokom, które wyznaczają ramy stosowania tego prawa.
W sprawie C-131/12 Google Spain, TSUE orzekł, że operator wyszukiwarki internetowej jest administratorem danych osobowych, które przetwarza, i ma obowiązek usunąć wyniki wyszukiwania zawierające dane osobowe osoby, która tego zażąda. Oznacza to, że nawet jeśli dane zostały legalnie opublikowane na stronach internetowych, wyszukiwarka musi je usunąć ze swoich wyników.
Natomiast w sprawie C-507/17, TSUE orzekł, że prawo do bycia zapomnianym nie ma charakteru bezwzględnego. Uznał, że administrator wyszukiwarki nie musi usuwać linków we wszystkich wersjach wyszukiwarki na całym świecie, a jedynie w wersjach odpowiadających poszczególnym państwom członkowskim UE.
Trybunał podkreślił, że interes publiczny w dostępie do informacji może różnić się w poszczególnych państwach członkowskich, dlatego to sądy krajowe powinny wyważyć prawa jednostki do prywatności z interesem publicznym w dostępie do informacji.
Orzecznictwo TSUE pokazuje, że prawo do bycia zapomnianym nie jest bezwzględne i musi być wyważone z innymi prawami, takimi jak wolność słowa i informacji. Jednocześnie nakłada ono realne obowiązki na administratorów danych, w tym wyszukiwarek internetowych, by respektowały żądania usunięcia danych osobowych.
Podsumowanie
Prawo do bycia zapomnianym to jedno z kluczowych praw, jakie daje obywatelom RODO. Umożliwia ono osobom fizycznym żądanie usunięcia ich danych osobowych w określonych sytuacjach, takich jak ustanie celu przetwarzania, wycofanie zgody lub skuteczny sprzeciw.
Administratorzy danych, którzy otrzymają takie żądanie, mają obowiązek niezwłocznego usunięcia danych i poinformowania osoby wnioskującej o podjętych działaniach. Odmowa usunięcia danych musi być uzasadniona i może skutkować interwencją organu nadzorczego.
Warto podkreślić, że prawo do bycia zapomnianym znacząco ogranicza możliwości prowadzenia działań telemarketingowych. Podmioty zajmujące się marketingiem muszą zatem szczególnie uważać na respektowanie praw podmiotów danych.
Orzecznictwo TSUE wskazuje również, że prawo do bycia zapomnianym nie ma charakteru bezwzględnego i musi być wyważone z innymi prawami, takimi jak wolność informacji. Niemniej nakłada ono realne obowiązki na administratorów, by respektowali żądania usunięcia danych osobowych.
Dla twórców stron internetowych kwestia prawa do bycia zapomnianym jest niezwykle istotna. Muszą oni zadbać, by ich witryny i stosowane praktyki przetwarzania danych w pełni respektowały te prawa użytkowników. Tylko w ten sposób mogą uniknąć poważnych konsekwencji prawnych i budować zaufanie odbiorców.
