Prawo do bycia zapomnianym, czyli kiedy usunąć dane osobowe

Zawartość

Cześć! To ja, Dokrates!

W jednym z poprzednich wpisów opowiedziałem Ci o prawie dostępu do danych (jeśli jeszcze go nie czytałeś, znajdziesz go tutaj). Dzisiaj przybliżę Ci kolejne wynikające z RODO uprawnienie – prawo do usunięcia danych, czyli tzw. prawo do bycia zapomnianym.

W nieustającej w Internecie dyskusji o RODO dużo mówi się o uprawnieniach, które mają z niego wynikać. Jednym z nich jest właśnie prawo do bycia zapomnianym, w świetle którego osoba, której dane dotyczą, może w określonych okolicznościach zażądać ich usunięcia. Jako administrator danych osobowych musisz być więc świadomy, że możesz otrzymać takie właśnie żądanie.

Polityka prywatności RODO i cookies

Nie oznacza to jednak, wbrew powszechnie krążącej opinii, że za każdym razem będziesz musiał je spełnić. Art. 17 RODO wskazuje okoliczności, w których po otrzymaniu takiego żądania administrator musi bez zbędnej zwłoki je zrealizować. Są to sytuacje, w których:

  • przetwarzane dane nie są już niezbędne do realizacji celów, w których zostały zebrane;
  • zgoda na przetwarzanie została wycofana, a administrator nie posiada innej podstawy przetwarzania;
  • osoba, której dane dotyczą skorzystała z przysługującego jej na mocy art. 21 prawa do sprzeciwu wobec przetwarzania i nie występują nadrzędne prawnie podstawy przetwarzania lub sprzeciw wnoszony jest w związku z prowadzonym przez Ciebie marketingiem bezpośrednim, w tym profilowaniem;
  • przetwarzanie nie było zgodne z prawem;
  • dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego administratora;
  • dane osobowe zebrane zostały w związku z oferowaniem usług społeczeństwa informacyjnego.

Oznacza to, że osoba, której dane dotyczą nie zawsze może z tego prawa skorzystać. W skrócie można więc powiedzieć, że żądanie usunięcia danych nie będzie skuteczne, jeśli dane przetwarzane są zgodnie z prawem i wciąż są potrzebne.

Jedną z najczęstszych okoliczności, które uprawniają osobę, której dane dotyczą do skorzystania z prawa do bycia zapomnianym, jest upływ okresu, w którym dane są konieczne do spełnienia celów ich pozyskania, np. po zrealizowaniu zamówienia i upłynięciu okresu niezbędnego do ewentualnego dochodzenia roszczeń, kupujący może zwrócić się do Ciebie jako administratora jego danych osobowych o ich usunięcie. Jeśli kupujący nie założył konta użytkownika w Twoim sklepie i nie masz innej podstawy przetwarzania, to powinieneś spełnić jego żądanie.

To jednak jeszcze nie wszystko – jeżeli dane te zostały przez Ciebie upublicznione, a żądanie usunięcia danych jest uprawnione, to jako administrator powinieneś (z uwzględnieniem dostępnej technologii i kosztów realizacji) podjąć działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane o skorzystaniu przez daną osobę z prawa do bycia zapomnianym i o jej żądaniu usunięcia łącza do tych danych oraz wszelkich ich kopii i replikacji.

Dokumenty RODO

Prawo do usunięcia danych nie może jednak naruszać w żaden sposób praw innych osób, zwłaszcza prawa do wolności wypowiedzi i informacji. Nie ma ono także zastosowania w określonych przypadkach, np. gdy przetwarzanie dotyczy zdrowia publicznego lub celów naukowych.

Jak widzisz, prawo do bycia zapomnianym nie może być wykorzystane w każdym przypadku, jak błędnie sądzi wiele osób. W razie otrzymania takiego żądania powinieneś wiedzieć, w jaki sposób się do niego ustosunkować. Jeżeli odpowiednio poinformujesz o warunkach przetwarzania, możesz uchronić się przed nieuprawnionymi żądaniami. Pomocna w tym będzie moja Polityka Prywatności zgodna z RODO, która wesprze Cię w wywiązaniu się z obowiązku informacyjnego. Kliknij tutaj – jej wygenerowanie zajmie Ci tylko chwilę!

Na dzisiaj to już wszystko z mojej strony. Mam nadzieję, że pomogłem!

Twój Dokrates

Powiązane artykuły