Jak stanowi prawo Unii Europejskiej, dane osobowe mogą być pozyskiwane jedynie z zachowaniem ściśle określonych warunków, a także w celu zgodnym z prawem. Podmioty, które owe dane zbierają, mają również obowiązek niedopuszczenia do bezprawnego wykorzystania owych danych i muszą respektować prawa podmiotów, jakich dane te dotyczą. W związku z tym ostatnim należy wspomnieć o prawie do żądania, aby dane zostały usunięte, zatem firmy powinny między innymi wprowadzić mechanizm, który pozwala na usunięcie danych osobowych.
Prawo do usunięcia danych czyli artykuł 17 RODO
Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, a więc ogólne rozporządzenie o ochronie danych, określane zazwyczaj jako RODO, przypomina, iż ochrona danych osób fizycznych związanych z ich przetwarzaniem, stanowi jedno z podstawowych praw Unii Europejskiej oraz że każda osoba ma do niej prawo.
Artykuł 17 RODO mówi, iż każda osoba, jakiej dotyczą dane, ma prawo żądać od administratora danych osobowych ich niezwłocznego usunięcia, zaś administrator, bez zbędnej zwłoki musi takie dane usunąć, w przypadku, gdy:
- dane osobowe nie są już potrzebne do celów, dla których je zebrano (lub w inny sposób następnie przetwarzano);
- osoba, jakiej dane dotyczą, cofnęła zgodę na ich przetwarzanie i jednocześnie nie ma innej podstawy prawnej do ich przetwarzania;
- osoba wniosła sprzeciw, dotyczący tego przetwarzania, w oparciu o przesłanki, o których mowa w RODO;
- dane osobowe były przetwarzane niezgodne z prawem.
Dane osobowe muszą również zostać usunięte celem wywiązania się z prawnego obowiązku, któremu podlega administrator danych. Obowiązkowi usunięcia w oparciu o prawo do bycia zapomnianym (czyli na mocy art. 17 RODO) podlegają również dane, które zostały zebrane w związku z oferowaniem usług świadczonych drogą elektroniczną, gdy zastosowanie ma zgoda – zarówno w przypadku dzieci do 16 roku życia, jak i osób, które ukończyły 16 rok życia. Należy podkreślić, iż ostatni przypadek dotyczy wszystkich osób, które przed ukończeniem 16 roku życia podzieliły się informacjami na własny temat – mogą one bez jakiejkolwiek podstawy żądać ich usunięcia, także po uzyskaniu pełnoletności.
Wyjątki od prawa do bycia zapomnianym
Administratorzy danych nie za każdym razem muszą egzekwować prawo do bycia zapomnianym, ponieważ istnieją przewidziane w RODO sytuacje, kiedy przetwarzanie danych jest niezbędne do realizacji innych celów. Ma to miejsce w sytuacji, jeśli przetwarzanie jest dokonywane celem korzystania z prawa do wolności wypowiedzi oraz informacji, a także kiedy wynika ono z obowiązku prawnego, jaki owego przetwarzania dotyczy, zawartego w przepisach krajowych bądź unijnych. Usunięciu na mocy omawianego prawa nie podlegają również dane, które są niezbędne dla wykonania zadania realizowanego w publicznym interesie lub w zakresie sprawowania publicznej władzy, jaka została powierzona administratorowi. Prawem do bycia zapomnianym nie są objęte dane przetwarzane z uwagi na interes publiczny, dotyczący zdrowia publicznego oraz dane, które przetwarza się w celach archiwalnych w interesie publicznym, dla badań naukowych albo wykorzystuje w celach historycznych czy statystycznych. Ostatnim wyjątkiem od realizacji obowiązku usunięcia danych na żądanie jest to, kiedy są one niezbędne administratorowi do ustalenia, dochodzenia lub obrony roszczeń.
Obowiązki administratora danych
Każde wystąpienie dotyczące usunięcia danych osobowych winno być indywidualnie rozpatrywane. Administrator danych, uznając zasadność żądania, jest zobowiązany do usunięcia owych danych. Jeżeli administrator danych upublicznił te dane, to winien także, uwzględniając wszelką dostępną technologię oraz koszt całej operacji, poinformować innych administratorów, którzy przetwarzają dane, iż osoba, jakiej one dotyczą, wystąpiła z żądaniem usunięcia do nich wszelkich łączy, kopii danych lub ich replikacji.
Zatem realizacja prawa do bycia zapomnianym powinna uwzględniać kiedy, jak i dlaczego należy usunąć dane, jak również biorąc pod uwagę ocenę ryzyka, a więc z uwzględnieniem środków organizacyjnych oraz technicznych, które muszą zostać w tym celu zaangażowane, aby nie naruszyć prawa, jakie przysługuje danej osobie.
