Cześć! To ja, Dokrates!
W jednym z poprzednich wpisów opowiedziałem Ci o prawie dostępu do danych (jeśli jeszcze go nie czytałeś, znajdziesz go tutaj). Dzisiaj przybliżę Ci kolejne wynikające z RODO uprawnienie – prawo do usunięcia danych, czyli tzw. prawo do bycia zapomnianym.
W nieustającej w Internecie dyskusji o RODO dużo mówi się o uprawnieniach, które mają z niego wynikać. Jednym z nich jest właśnie prawo do bycia zapomnianym, w świetle którego osoba, której dane dotyczą, może w określonych okolicznościach zażądać ich usunięcia. Jako administrator danych osobowych musisz być więc świadomy, że możesz otrzymać takie właśnie żądanie.
Nie oznacza to jednak, wbrew powszechnie krążącej opinii, że za każdym razem będziesz musiał je spełnić. Art. 17 RODO wskazuje okoliczności, w których po otrzymaniu takiego żądania administrator musi bez zbędnej zwłoki je zrealizować. Są to sytuacje, w których:
- przetwarzane dane nie są już niezbędne do realizacji celów, w których zostały zebrane;
- zgoda na przetwarzanie została wycofana, a administrator nie posiada innej podstawy przetwarzania;
- osoba, której dane dotyczą skorzystała z przysługującego jej na mocy art. 21 prawa do sprzeciwu wobec przetwarzania i nie występują nadrzędne prawnie podstawy przetwarzania lub sprzeciw wnoszony jest w związku z prowadzonym przez Ciebie marketingiem bezpośrednim, w tym profilowaniem;
- przetwarzanie nie było zgodne z prawem;
- dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego administratora;
- dane osobowe zebrane zostały w związku z oferowaniem usług społeczeństwa informacyjnego.
Oznacza to, że osoba, której dane dotyczą nie zawsze może z tego prawa skorzystać. W skrócie można więc powiedzieć, że żądanie usunięcia danych nie będzie skuteczne, jeśli dane przetwarzane są zgodnie z prawem i wciąż są potrzebne.
Jedną z najczęstszych okoliczności, które uprawniają osobę, której dane dotyczą do skorzystania z prawa do bycia zapomnianym, jest upływ okresu, w którym dane są konieczne do spełnienia celów ich pozyskania, np. po zrealizowaniu zamówienia i upłynięciu okresu niezbędnego do ewentualnego dochodzenia roszczeń, kupujący może zwrócić się do Ciebie jako administratora jego danych osobowych o ich usunięcie. Jeśli kupujący nie założył konta użytkownika w Twoim sklepie i nie masz innej podstawy przetwarzania, to powinieneś spełnić jego żądanie.
To jednak jeszcze nie wszystko – jeżeli dane te zostały przez Ciebie upublicznione, a żądanie usunięcia danych jest uprawnione, to jako administrator powinieneś (z uwzględnieniem dostępnej technologii i kosztów realizacji) podjąć działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane o skorzystaniu przez daną osobę z prawa do bycia zapomnianym i o jej żądaniu usunięcia łącza do tych danych oraz wszelkich ich kopii i replikacji.
Prawo do usunięcia danych nie może jednak naruszać w żaden sposób praw innych osób, zwłaszcza prawa do wolności wypowiedzi i informacji. Nie ma ono także zastosowania w określonych przypadkach, np. gdy przetwarzanie dotyczy zdrowia publicznego lub celów naukowych.
Jak widzisz, prawo do bycia zapomnianym nie może być wykorzystane w każdym przypadku, jak błędnie sądzi wiele osób. W razie otrzymania takiego żądania powinieneś wiedzieć, w jaki sposób się do niego ustosunkować. Jeżeli odpowiednio poinformujesz o warunkach przetwarzania, możesz uchronić się przed nieuprawnionymi żądaniami. Pomocna w tym będzie moja Polityka Prywatności zgodna z RODO, która wesprze Cię w wywiązaniu się z obowiązku informacyjnego. Kliknij tutaj – jej wygenerowanie zajmie Ci tylko chwilę!
Na dzisiaj to już wszystko z mojej strony. Mam nadzieję, że pomogłem!
Twój Dokrates
