Żądanie usunięcia danych osobowych – jak powinno się to odbywać?
RODO zagościło w polskim porządku prawnym oraz świadomości konsumentów już na dobre. Aktualnie chyba nie ma osoby, która nie wiedziałaby, czym są dane osobowe, jak je chronić oraz jakie obowiązki ma administrator danych i jakie prawa należą się osobie, której dane są przetwarzane. Jednym z najszerzej omawianych i najczęściej wykorzystywanych uprawnień jest żądanie usunięcia danych osobowych. Prawo do bycia zapomnianym nie jest jednak prawem bezwzględnym. Owszem, jeżeli osoba fizyczna zażąda usunięcia jej danych, administrator ma obowiązek to wykonać. Nie zawsze będzie to jednak możliwe, bowiem w niektórych sytuacjach dalsze przetwarzanie danych może być niezbędne. Kiedy zatem żądanie usunięcia danych będzie wiązało administratora, a kiedy może on odmówić takiego działania? O tym poniżej.
Prawo do bycia zapomnianym zostało uregulowane w art. 17 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Rozporządzenie to reguluje prawa osoby fizycznej, która przekazała swoje dane osobowe do przetwarzania podmiotowi trzeciemu. Zawiera ono wiele narzędzi umożliwiających prawidłowe przetwarzanie danych osobowych oraz egzekwowanie ochrony tych informacji. Przetwarzanie danych przez administratora z naruszeniem przepisów może prowadzić do odpowiedzialności administracyjnej, cywilnoprawnej, jak i karnoprawnej. Podmioty zajmujące się przetwarzaniem informacji o osobach fizycznych powinny pamiętać, że za łamanie obowiązującego prawa mogą narazić się na wysokie kary finansowe – nawet do 20 mln euro lub 4% światowego przychodu.
Co mówią przepisy RODO?
Materię usunięcia przetwarzanych danych osobowych reguluje wyżej wspomniany art. 17 RODO. Przepis ten wskazuje, iż w razie wyrażenia żądania usunięcia danych osobowych przez osobę, której dane są przetwarzane, administrator ma obowiązek dokonania tego bez zbędnej zwłoki. Dodatkowo w przypadku gdy administrator upublicznił te dane osobowe, tj. przekazał je innym podmiotom do przetwarzania, jest zobowiązany do podjęcia wszelkich, lecz „rozsądnych” działań w celu poinformowania pozostałych administratorów, że osoba, której dane przetwarzają, żąda, aby informacje te usunęli. Usunięcie dotyczy przekazanych danych osobowych, wszelkich jej kopii, replikacji oraz łącz do tych danych. Obowiązek ten nie ma jednak charakteru bezwzględnego. Przy jego realizacji należy bowiem brać pod uwagę dostępną technologię i koszt realizacji. Oznacza to, że w przypadku gdy technologia, którą operuje administrator, jest do tego niewystarczająca – np. odpowiednia technologia jest zbyt droga – administrator może odmówić realizacji żądania osoby, której dane są przetwarzane. Obowiązek powiadomienia o żądaniu usunięcia danych dotyczy nie tylko podmiotów trzecich, którym dane zostały przekazane bezpośrednio przez administratora, ale również podmiotów (administratorów), którzy uzyskali te informacje w inny sposób.
Przepis wskazuje również, kiedy osoba, której dane dotyczą, ma prawo żądać ich usunięcia. Prawo do bycia zapomnianym przysługuje, gdy:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
- osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania tych danych;
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
Jeżeli została spełniona chociaż jedna z powyższych przesłanek, administrator ma obowiązek usunąć dane osobowe wnioskodawcy. Wystarczy tutaj, aby osoba fizyczna wskazała okoliczność, z którą wiąże ją prawo do bycia zapomnianym. Nie musi ona wskazywać podstawy swojego żądania oraz szczególnie go uprawdopodobniać czy też udowadniać.
Obowiązek usunięcia danych
Przepis art. 17 ust. 1 RODO wskazuje, że w sytuacji gdy żądanie osoby fizycznej jest zasadne, administrator jest zobowiązany do usunięcia danych osobowych bez zbędnej zwłoki. Rozporządzenie nie określa jednak znaczenia pojęcia „bez zbędnej zwłoki”. Terminu tego nie można jednak utożsamiać z terminem „natychmiast”. Określenie „bez zbędnej zwłoki” należy odczytywać jako powinność wykonania danego obowiązku tak szybko, jak jest to możliwe. Oznacza to, że administrator powinien usunąć dane w jak najkrótszym możliwym terminie. Omawiany obowiązek należy łączyć również z art. 12 RODO, w którym uregulowana została kwestia informowania przez administratora osoby, której dane są przetwarzane, o podjętych działaniach w związku z jej żądaniem. Ust. 3 tego przepisu wskazuje, iż administrator dokonuje tego bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania. Z kolei w przypadku szczególnie skomplikowanych żądań lub gdy ich liczba jest znaczna, termin ten można przedłużyć o kolejne dwa miesiące.
RODO nie wskazuje także, w jaki sposób powinno nastąpić owe „usunięcie danych”. Do tej pory nie ustalono w praktyce prawnej, czy usunięcie należy wiązać z fizycznym zniszczeniem danych, czy też z taką ich modyfikacją, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Warto pamiętać, że w przypadku przetwarzania danych w internecie ich usunięcie nie oznacza, że znikną one automatycznie z sieci – np. indeksowanie danych przez wyszukiwarkę Google trwa od kilku dni do kilku tygodni. Administratorzy danych nie mają na to żadnego wpływu.
Zasady informowania o wykonaniu żądania
Administrator oprócz spełnienia żądania danej osoby odnośnie usunięcia jej danych ma także obowiązek poinformowania jej o podjętych w tym celu działaniach. Przepis art. 12 ust. 1 RODO wskazuje, iż informacja ta ma być zwięzła, przejrzysta i zrozumiała, a ponadto przekazana w łatwo dostępnej formie. Oznacza to, że przedsiębiorca ma obowiązek dostosowywać język komunikacji do adresata, tj. używać innych sformułowań w korespondencji z dzieckiem, a innych z osobą dorosłą i wykształconą. Dodatkowo wszelkie pojęcia używane przez administratora danych (niezależnie komu przekazuje informacje) mają mieć charakter jednoznaczny, niebudzący wątpliwości. W tej kwestii zaleca się używania języka zrozumiałego dla przeciętnego przedstawiciela grupy docelowej odbiorców przedsiębiorcy. Dla przykładu, w przypadku odbiorców treści internetowych inaczej należy formułować komunikaty kierowane do użytkowników portali „plotkarskich”, a inaczej do odbiorców treści zamieszczanych na stronach sprofesjonalizowanych. Niezależnie od tego, kto stanowi odbiorcę treści, informacje przekazywane przez administratora muszą być formułowane w „prostym języku”. Wymóg ten oznacza, że komunikat przekazywany przez przedsiębiorcę powinien być pozbawiony m.in. języka technicznego, niezrozumiałego dla przeciętnego odbiorcy, nieposiadającego wiedzy specjalistycznej.
Dodatkowo informacje muszą być przekazywane w prostej formie. Oznacza to konieczność posługiwania się odpowiednią wielkością czcionki oraz przejrzystym układem tekstu, tak aby jego odbiorca mógł w szybki i łatwy sposób zapoznać się z jego treścią.
Jak zostało wskazane w poprzednim akapicie, administrator danych ma obowiązek udzielenia osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej żądaniem bez zbędnej zwłoki, maksymalnie w terminie miesiąca od otrzymania żądania. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące, jeżeli sprawa ma skomplikowany charakter lub administrator zarejestrował znaczną liczbę takich żądań. Jeżeli jednak administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, wówczas jest zobowiązany niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – poinformować taką osobę o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
Czy żądanie usunięcia danych osobowych jest odpłatne?
Dokonywanie usunięcia danych osobowych oraz przekazywanie informacji w przedmiocie podjętych w tym celu działaniach jest wolne od opłat (bezpłatne). Istnieje jednak możliwość pobierania opłat przez administratora danych od osoby, której dane dotyczą, jeżeli pochodzące od niej żądania są ewidentnie nieuzasadnione lub nadmierne oraz nie służą realizacji prawa do ochrony danych osobowych. Z nadużyciem prawa mamy do czynienia, gdy strona podejmuje prawnie dozwolone działania, które jednak mają służyć celom innym niż przewidziane przez RODO. Zatem zachowanie, które formalnie zgodne jest z prawem, lecz sprzeciwia się jego sensowi, nie zasługuje na ochronę RODO.
Ograniczenia prawa do bycia zapomnianym
Ustawodawca przewidział również wyjątek od omawianej zasady. Przepis art. 17 ust. 3 RODO wskazuje na ograniczenia prawa do bycia zapomnianym. Dane osobowe nie mogą zostać usunięte w zakresie, w jakim przetwarzanie jest niezbędne:
- do korzystania z prawa do wolności wypowiedzi i informacji;
- do ustalenia, dochodzenia lub obrony roszczeń;
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Żądanie usunięcia danych osobowych – podsumowanie
Dane osobowe są dobrami chronionymi każdej osoby fizycznej. W związku z tym każda z nich ma prawo żądać usunięcia wszelkich informacji, jakie jej dotyczą, a są w bazie danych innego podmiotu. Prawo do bycia zapomnianym zgłoszone do określonego administratora obliguje go nie tylko do usunięcia posiadanych danych, ale również do poinformowania wszystkich innych podmiotów, którym udostępnił owe dane, o tym żądaniu. Wykonanie żądania osoby, której dane są przetwarzane, powinno nastąpić niezwłocznie, jednak nie później niż w przeciągu miesiąca od dnia otrzymania przez administratora danych żądania. Dodatkowo w tym samym terminie administrator ma obowiązek poinformować o wszelkich działaniach, jakie zostały przez niego podjęte w tym celu. Jednocześnie istnieją ograniczenia, w których ustawodawca uznał, iż usunięcie danych nie może zostać wykonane. Będzie tak m.in. w przypadku, gdy dane są potrzebne do korzystania z prawa do wolności wypowiedzi i informacji oraz do ustalenia, dochodzenia lub obrony roszczeń.