Co w Prawie Piszczy | Czy RODO pozwala na zapomniane dane?
7338
post-template-default,single,single-post,postid-7338,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Czy RODO pozwala na zapomniane dane?

Prawo do bycia zapomnianym – ostatnio jak mantra powtarzane jako nowe uprawnienia dla osób, których dane dotyczą. Mówi się o nim w kontekście recepty na czasem niekontrolowane przetwarzanie danych w Internecie. Niestety, jak wskazują komentatorzy, wprowadzające je przepisy więcej obiecują niż rzeczywiście dają.

Prawo do bycia zapomnianym – kiedy?

Nowe unijne rozporządzenie wprowadza w art. 17 katalog sytuacji, w których dane osobowe konkretnej osoby powinny zostać usunięte przez administratora. Skasowanie danych ma nastąpić z inicjatywy osoby, której one dotyczą. Chodzi m.in. o:

  • sytuacje, gdy dane osobowe nie są już niezbędne dla realizacji celów, dla których zostały pozyskane (tu dość optymistycznie ustawodawca unijny założył, że osoba której dane podlegają przetwarzaniu będzie posiadała wiedzę o tej okoliczności),
  • cofnięcie zgody na przetwarzanie przez osobę zainteresowaną,
  • wniesienie sprzeciwu wobec przetwarzania danych pod warunkiem, że nie istnieją żadne nadrzędne i prawnie uzasadnione podstawy do kontynuowania przetwarzania (patrz także art. 21 RODO),
  • przetwarzanie danych niezgodnie z prawem.

 

Wskazane przypadki odwołują się do sytuacji, kiedy administrator z własnej inicjatywy, bez oczekiwania na wniosek zainteresowanej osoby, powinien usunąć dane zgodnie z dotychczas obowiązującym art. 35 ustawy o ochronie danych osobowych. Praktyczne znaczenie tego przepisu jest więc mocno ograniczone – dotyczy znanych już sytuacji, np. kiedy cel dla którego realizacji dane były niezbędne, odpadł i dalsze przetwarzanie przez administratora nie jest już konieczne. Zdarza się to np. gdy zakończył się proces rekrutacyjny, na potrzeby którego zebrano CV kandydatów (przy założeniu, że nie wyrazili oni zgody na przetwarzanie dla przyszłych procesów zatrudnienia) – tym samym administrator powinien usunąć dane niewybranych kandydatów.

W tym kontekście wydaje się użyteczna jedynie przesłanka dotycząca przetwarzania danych osobowych dziecka zebranych w związku z oferowaniem usług społeczeństwa informatycznego (np. dostęp do gazet on-line, sklepy internetowe). W tej sytuacji osoba, której dane dotyczą może żądać usunięcia danych bez zaistnienia określonych warunków.

Pojęcie „usunięcia danych”

Chodzi o zniszczenie danych lub taką modyfikację, która nie pozwoli na ich powiązanie z konkretną osobą fizyczną (ustalenie tożsamości tej osoby). Usunięcie może nastąpić za pomocą różnych metod, niemniej ostatecznym skutkiem podjętych przez administratora działań ma być wyłączenie możliwości identyfikacji podmiotu danych.

Co ważne, nowe przepisy nakładają na administratora obowiązek poinformowania dalszych podmiotów, którym upublicznił dane osobowe (chodzi zarówno o powierzenie, jak i udostępnienie), o zaistnieniu obowiązku usunięcia danych. Celem jest w tym przypadku trwałe i kompleksowe usunięcie danych – zarówno pierwotny administrator danych, jak i wszyscy kolejni administratorzy są obowiązani usunąć wszelkie łącza do danych, ich kopie i replikacje. W praktyce oznacza to konieczność zidentyfikowania i usunięcia danych, zapisanych również w ramach tworzonych często automatycznie, kopii zapasowych systemów informatycznych. Obowiązek administratora w tym zakresie sprowadzać ma się jednak do podjęcia racjonalnych działań z uwzględnieniem dostępnych technologii i znanych mu środków w celu poinformowania dalszych administratorów.

Zgodnie z art. 19 RODO administrator jest obowiązany do poinformowania o usunięciu danych każdego odbiorcy, któremu ujawnił dane osobowe. Zwolnienie z tego obowiązku jest przewidziane jedynie dla sytuacji, w której poinformowanie odbiorcy byłoby niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Kiedy nie będzie można żądać „zapomnienia”

Należy zwrócić uwagę, że obowiązek usunięcia danych nie zaistnieje, jeżeli przetwarzanie jest niezbędne:

  • dla korzystania z prawa do wolności wypowiedzi i informacji (np. dane przetwarzane w zw. z debatą publiczną),
  • do wywiązywania się przez administratora z prawnych obowiązków wymagających przetwarzania na mocy prawa (krajowego lub unijnego – np. prowadzenie dokumentacji kadrowej),
  • dla wykonania zadania realizowanego przez administratora w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej temu administratorowi (np. ewidencjonowanie wypłat ze środków publicznych na rzecz określonych osób),
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego (w wąskim zakresie określonym przez RODO – w praktyce np. w celu przeprowadzenia badań lekarskich przed dopuszczeniem pracownika do pracy),
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile realizacja prawa do bycia zapomnianym prawdopodobnie poważnie utrudniłaby lub uniemożliwiłaby realizację wspomnianych celów (np. dane biograficzne),
  • dla ustalenia, dochodzenia lub obrony roszczeń (np. adres zamieszkania niezbędny dla dochodzenia roszczeń).

 

Podsumowując – zastosowanie prawa do bycia zapomnianym jest niewielkie – w praktyce, może ono służyć ‘przypomnieniu’ administratorom danych osobowych o obowiązkach, które i tak nakładają na nich obowiązujące przepisy.

Autor: Paulina Maślak-Stępnikowska

SENIOR KONSULTANT / APLIKANT RADCOWSKI

T: (+48) 22 123 52 46
E: paulina.maslak-stepnikowska@olesinski.com

Zaproponuj znajomym
2 komentarze
  • Katarzyna

    29 maja 2018 at 16:26 Odpowiedz

    Dzień dobry,

    Subiektywnie: to prawo jest wykonalne w mało praktycznym zakresie z pkt. widzenia osób które przysyłają żądanie prawa do zapomnienia, a chodzi im o wykreślenie danych po to aby nie otrzymywać niechcianych maili.

    Można oczywiście usunąć dane takiej osoby z systemu informatycznego, kopii tego systemu, poinformować o konieczności usunięcia innych administratorów gdzie się je przekazało itp.

    Tylko co w sytuacji gdy tych danych już w naszym systemie nie ma, a ciągle pracując nad aktualizacją bazy danych po raz kolejny ktoś znajdzie w danych publicznych osobę która już dokonała żądania zapomnienia i nie mając pojęcia o tym fakcie że takie żądanie zostało zgłoszone – po raz kolejny zarejestruje tego pracownika firmy X w systemie?Następnie w wyniku faktu iż będzie on choćby ze względu na stanowisko należał do grupy docelowej na usługę czy produkt własny podmiotu aktualizującego własną bazę danych, zostanie znów uwzględniony w wyselekcjonowanej bazie danych i kolejny raz dostanie niechcianego maila?

    • Paulina Maślak-Stęnikowska

      8 czerwca 2018 at 12:44 Odpowiedz

      Proszę zwrócić uwagę, że temat mailingu, zwłaszcza tego marketingowego powinien być rozważany na dwóch lub nawet trzech płaszczyznach: danych osobowych, ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego. Fakt, że adres mailowy znajduje się w publicznie dostępnych miejscach nie oznacza, że możemy dowolnie z niego korzystać. Uzasadniony interes administratora, który znajduje oparcie art. 6 RODO, nie stanowi wyłącznej podstawy prawnej dla przetwarzania danych osobowych to jest np. przesyłania informacji reklamowych drogą mailową w ramach marketingu bezpośredniego. Przepisy ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego wymagają uzyskania odrębnych uprzednich zgód od użytkowników końcowych.

      Zgodę na przesyłanie informacji handlowych drogą elektroniczną powinniśmy pozyskać przez skorzystaniem z tego kanału komunikacji – sam kontakt w celu uzyskania zgody za pośrednictwem maila może być uznany za niezamówioną informację handlową. Tym samym nie powinno dojść do sytuacji, w której adres email wobec którego otrzymaliśmy żądanie usunięcia zostanie ponownie pozyskany ze źródeł publicznych i wykorzystany do niepożądanego kontaktu.

      Dla powyższego nie ma znaczenia, czy wskazany adres mailowy jest adresem firmowym, ani to czy jego użytkownik jest konsumentem czy przedsiębiorcą.
      Nie zapominajmy także o konieczności poinformowania osób, których dane dotyczą o fakcie przetwarzania ich danych (nawet jeśli przetwarzanie sprowadza się do umieszczenia w bazie), tj. o konieczności spełnienia obowiązków informacyjnych także w sytuacji, kiedy dane pozyskujemy ze źródeł innych niż bezpośrednio od osoby zainteresowanej (art. 14 RODO).

skomentuj