Pierwsze dwa i pół roku obowiązywania RODO pokazało, że prawidłowe stosowanie przepisów o prawie do bycia zapomnianym sprawia przedsiębiorcom trudności. Nieprawidłowości w tym zakresie mogą prowadzić do surowych kar nakładanych przez Prezesa UODO. Taka sytuacja miała miejsce na przykład w roku 2019, kiedy to za brak odpowiednich środków technicznych i organizacyjnych umożliwiających szybkie i łatwe skorzystanie z prawa do wycofania zgody na przetwarzanie danych i do bycia zapomnianym na polskiego przedsiębiorcę nałożono karę w wysokości przekraczającej 200 tys. złotych. Spółka stworzyła wielostopniowy mechanizm wycofania zgody na przetwarzanie danych, obejmujący wprowadzające w błąd komunikaty i wymuszanie podania przyczyny wycofania zgody dla skuteczności tego wycofania. Ponadto nie usuwano danych osób żądających bycia zapomnianym, co zostało uznane za umyślne naruszenie przepisów RODO.
Celem niniejszego artykułu jest przypomnienie na czym polega prawo do bycia zapomnianym i jak stosować przepisy RODO go dotyczące. Odpowiemy też na pytanie co zrobić po otrzymaniu żądania bycia zapomnianym, jeżeli dane zostały przekazane partnerom handlowym?
Procedowanie wniosku – prawo do zapomnienia
Prawo do bycia zapomnianym (prawo do zapomnienia), to określone w art. 17 RODO prawo do usunięcia danych osobowych, które jest powiązane z obowiązkiem administratora do ich usunięcia. Osoba, której dane dotyczą, może żądać od Administratora Danych Osobowych usunięcia jej danych, w każdym z następujących przypadków:
- dane osobowe nie są już niezbędne do celów, dla których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie jej danych, a nie istnieje inna podstawa przetwarzania;
- osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania jej danych na podstawie art. 6 ust. 1 lit. e lub f RODO, a nie ma innych, nadrzędnych prawnie uzasadnionych podstaw przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania na potrzeby marketingu bezpośredniego;
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą zostać usunięte ze względu na obowiązek nałożony na administratora przez prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega administrator;
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
Administrator Danych Osobowych po otrzymaniu żądania w trybie art. 17 RODO powinien sprawdzić, czy zachodzi któraś z powyższych przesłanek. W przypadku gdy wcześniej przekazał dane innym administratorom (w szczególności swoim partnerom handlowym) jest zobowiązany do przekazania im żądania osoby, która skorzystała z prawa do zapomnienia.
Czy zawsze trzeba usuwać wszystkie dane?
W określonych przypadkach Administrator może odmówić realizacji żądania bycia zapomnianym. Taka sytuacja ma miejsce w szczególności:
- kiedy dalsze przetwarzanie danych jest niezbędne w celu korzystania z prawa do wolności wypowiedzi i informacji,
- w razie konieczności spełnienia prawnego obowiązku wymagającego od administratora przetwarzania wynikającego z prawa Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega administrator, lub konieczności wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
- gdy przemawiają za tym względy interesu publicznego w dziedzinie zdrowia publicznego,
- w razie przetwarzania danych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,
- do ustalenia, dochodzenia lub obrony roszczeń.
Możliwe jest też częściowe usunięcie danych – w zakresie w jakim przetwarzane dane kwalifikują się do usunięcia na podstawie wskazanych powyżej przesłanek. W przypadku oddalenia wniosku o bycie zapomnianym (w całości lub części) ADO ma obowiązek poinformować o tym osobę, której dane dotyczą, na piśmie i z uzasadnieniem.
Jak ustalić skąd należy usunąć dane?
Wskutek skorzystania przez osobę, której dane dotyczą z prawa do bycia zapomnianym zachodzi konieczność ich usunięcia. Obejmuje to nie tylko same dane, ale także ich kopie elektroniczne i tradycyjne oraz odnośniki do danych, chyba że usunięcie będzie się wiązało z dużymi kosztami oraz koniecznością użycia nadmiernych środków technicznych.
Uznanie żądania powoduje konieczność określenia lokalizacji danych w formie cyfrowej oraz trwałych nośników, na których zostały one zapisane, w celu ich usunięcia. Pomocny tutaj może być prawidłowo prowadzony Rejestr Czynności Przetwarzania danych osobowych. Ponadto administrator ma obowiązek powiadomienia wszystkich partnerów handlowych, którzy otrzymali dane, o fakcie skorzystania z prawa do zapomnienia. Znając lokalizacje oraz liczbę i charakter trwałych nośników trzeba określić, czy w przypadku którychkolwiek z nich usunięcie danych będzie nadmiernie kosztowne bądź uciążliwe. Wówczas nie ma konieczności podejmowania działań wobec tych nośników, a usunięcie danych powinno objąć pozostałe nośniki.
W sprawnym procedowaniu tego typu wniosków bardzo pomocne są przygotowane zawczasu (np. podczas dobrego wdrożenia RODO u przedsiębiorcy) listy kontrolne, które przyspieszą procedowanie wniosków i ułatwią sprawdzenie wszystkich istotnych okoliczności. Pamiętać przy tym należy o terminach, które przepisy przewidują na rozpatrzenie wniosków osób, których dane dotyczą.