Prawo do usunięcia danych osobowych jest jednym z najbardziej znanych praw podmiotów danych na gruncie RODO. W teorii, RODO zapewnia każdej osobie fizycznej, której dane osobowe są przetwarzane, prawo do ich usunięcia w każdym momencie. Jednak, jak większość przepisów, każde prawo obwarowane jest pewnymi warunkami. Prawo do usunięcie danych również nie jest prawem bezwzględnym i jego zastosowanie zależne jest od kilku czynników przewidziane w art. 17 RODO. W dalszej części niniejszego tekstu, postaramy się przybliżyć wszelkie okoliczności realizacji prawa „do bycia zapomnianym” (czyli prawa do usunięcia danych) na gruncie Rozporządzenia o ochronie danych osobowych.
Art. 17 RODO już w pierwszym ustępie wskazuje, że administrator w odpowiedzi na żądanie usunięcia danych osobowych, musi te żądanie zrealizować jeżeli:
- Administrator nie posiada już celów przetwarzania danych, dla których dane zostały zebrane.
Oznacza to sytuację, w której skończyły się po stronie Administratora cele, dla których zostały zebrane dane. Na przykład wygasła umowa Administratora z podmiotem danych, a okres na przedawnienia roszczeń także upływał. W takim przypadku po stronie Administratora nie ma już żadnych celów przetwarzania danych.
- Osoba, której dane dotyczą, cofnęła zgodę na przetwarzanie danych.
Tutaj mówimy o sytuacji, gdy dane osobowe były przetwarzane na podstawie art. 6 ust. 1 lit .a RODO oraz art. 9 ust. 2 lit a RODO, czyli na podstawie zgody. Podmiot danych w każdej chwili, bez podania powodu, może taką zgodę wycofać. Od momentu wycofania zgody, administrator danych nie ma celu przetwarzania i powinien te dane usunąć. Ta sytuacja jest dosyć jednoznaczna.
- Osoba, której dane dotyczą, wyraziła sprzeciw na mocy art. 21 i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania.
Ten punkt wymaga trochę konkretniejszego wyjaśnienia. Po pierwsze, prawo do sprzeciwu dot. przetwarzania danych osobowych przysługuje, gdy:
- Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e) oraz
- Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, (art. 6 ust. 1 lit. f RODO).
Tylko w przypadku, gdy dane osobowe przetwarzane są na jednej z tych dwóch podstaw, osobie fizycznej przysługuje prawo do realizacji prawa sprzeciwu. Wyrażenie sprzeciwu nie wymaga określonej formy. Nie trzeba wypowiadać lub wpisywać słowa „sprzeciw”. Nie ma wymogu, aby sprzeciw był wyrażony w jakiejkolwiek formie. Treść oświadczenia woli podmiotu danych powinna wyraźnie wskazywać, że osoba fizyczna nie chce, aby jego dane osobowe były dalej przetwarzane.
Wyrażenie sprzeciwu i automatyczne zaprzestanie przetwarzania danych osobowych nie jest jednak do końca tak proste i oczywiste. Zgodnie ze wspomnianym art. 21 RODO, wniesienie sprzeciwu powinno być uzasadnione „szczególną sytuacją podmiotu danych”. Jak wskazuje się w doktrynie, przez szczególną sytuację osoby należy rozumieć takie sytuacje, w których przetwarzanie danych osobowych może powodować w stosunku do podmiotu danych negatywne konsekwencje. Przez negatywne konsekwencje możemy rozumieć wszelkie sytuacje, które powodują, że sfera prywatności podmiotu danych jest zagrożona. Motyw 69 do preambuły wskazuje, że prawo do sprzeciwu w związku ze szczególną sytuacją podmiotu danych powinno przysługiwać również, jeżeli dane osobowe przetwarzane są zgodnie z prawem. Administrator może nie zaakceptować sprzeciwu dot. przetwarzania danych osobowych, gdy wykaże, że prawnie uzasadnione interesy administratora mają nadrzędny charakter wobec interesów lub podstawowych praw i wolności podmiotów danych.
W tym samym motywie do RODO zwrócono uwagę, że ważne prawnie uzasadnione interesy administratora mają nadrzędny charakter wobec interesów lub podstawowych praw i wolności. Co to oznacza? Administrator może nie zaakceptować sprzeciwu podmiotu danych, gdy wykaże, że interesy administratora przeważają nad interesami i prawami podmiotu danych. Administrator powinien to zrobić w taki sposób, aby nie zaakceptowanie sprzeciwu było udokumentowane. Administrator musi wykazać i udowodnić, że jego interesy przeważają nad interesami osób fizycznych. Bardzo często metodą na wykazanie tej zgodności, tj. przetwarzania danych na podstawie prawnie uzasadnionego interesu jest tzw. test balansu interesu
- Dane osobowe były przetwarzane niezgodne z prawem.
W tym przypadku mówimy o sytuacji, gdy dane osobowe przetwarzane przez administratora były przetwarzane z naruszeniem podstawowych zasad RODO przewidzianych w art. 5 RODO. Mówimy to o sytuacji, gdy np. administrator nie posiadał ważnej podstawy prawnej przetwarzania danych osobowych zawartych w art. 6 lub 9 ust. 2 RODO lub, gdy zakres przetwarzanych danych jest nadmiarowy w stosunku do danych, które są rzeczywiście niezbędne do realizacji celów przetwarzania.
- Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
Jest to sytuacja raczej wyjątkowa, gdy np. przepis ustawy krajowej wprost wskazuje na konieczność usunięcia pewnego zakresu danych.
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.
Tutaj mowa o sytuacji, w której zebrane dane osobowe dotyczyły oferowania usług społeczeństwa informacyjnego (szeroko pojęte usługi dostępne w formie on-line) dziecku, które ukończyło lat 16. W takim przypadku, konieczne jest zebranie zgody na przetwarzania danych osobowych. Jeżeli dziecko nie ukończyło 16 lat, zgoda taka koniecznie powinna być wyrażona przez rodzica lub opiekuna prawnego.
Powyżej opisaliśmy sytuacje, do których ma zastosowanie prawo do usunięcia danych osobowych. Należy zaznaczyć, że żądanie usunięcia danych jako osoby fizycznej możemy złożyć w każdej chwili wobec osoby/podmiotu, które nasze dane osobowe przetwarza. Co istotne, jeżeli jeden z punktów opisanych wyżej się ziści, to art. 17 ust. 2 RODO, zobowiązuje administratora do podjęcia rozsądnych działań, by poinformować innych administratorów, którzy przetwarzają te danych osobowe, aby administratorzy ci usunęli te dane osobowe lub ich kopie. Należy zwrócić uwagę, że przepisy nakazują podjęcie tutaj rozsądnych działań. W wielu przypadkach usunięcie tych danych u innych administratorów może okazać się niemożliwe. Przepis ten nie stanowi kategorycznego obowiązku, ale wymaga od administratorów podjęcia takich działań, aby zweryfikować możliwość usunięcia danych, kopii tych danych u administratorów, u których doszło do upublicznienia danych.
Art. 17 RODO jak już zapewne można było zauważyć zawiera sporo elementów, warunków, ale także wyłączeń. W ust. 3 zawarte zostały sytuacje, które nie będą mieć zastosowania do prawa do usunięcia danych osobowych. Zgodnie ze wspomnianym ustępem, prawo do bycia zapomnianym nie zrealizujemy, gdy przetwarzanie danych jest niezbędne: :
- do korzystania z prawa do wolności wypowiedzi i informacji;
W tej sytuacji mamy do czynienia przede wszystkim z wolnością prasy i sytuacji, gdy należałoby usuwać dane osobowe związane z materiałami prasowymi lub archiwami prasowymi. Konieczność realizacji tego prawa mogłaby znacząco wpływać na wolność mediów i prasy, doskonale znanej w demokratycznych systemach państw.
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
Dotyczy sytuacji, w której administrator zobowiązany jest do przetwarzania danych na podstawie obowiązujących przepisów prawa i nie jest możliwe zrealizowanie żądania podmiotu danych z tego powodu.
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
Chodzi o przede wszystkim o sytuacje, w których dochodzi do przetwarzania danych szczególnej kategorii na podstawie przesłanek z art. 9 RODO.
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
W tym przypadku, administrator może nie zrealizować żądania usunięcia danych, jeżeli uprawdopodobni, że przetwarzane przez niego dane są rzeczywiście niezbędne do celów badań naukowych lub historycznych lub do celów statystycznych
- do ustalenia, dochodzenia lub obrony roszczeń.
Jest to sytuacja, w której pomimo np. zakończenia umowy / relacji biznesowej, administrator jest w stanie udowodnić, że przez okres wskazany np. w przepisach prawa cywilnego może przechowywać dane w celach dochodzenia lub obrony przed roszczeniami. Administrator jest uprawniony do przetwarzania tych danych np. w sytuacji, gdy podmiot danych skieruje wobec administratora żądanie na drodze sądowej w związku z obowiązującą wcześniej umową. Administrator w tym okresie ma prawo do przechowywania danych osobowych w celu skutecznego odparcia stawianych zarzutów przez podmiot danych.
Podsumowując, prawo do usunięcia danych nie jest prawem bezwzględnym, ale jest obwarowane wieloma warunkami i wyjątkami. Jako administratorzy danych przed realizacją takiego żądania podmiotu danych musimy wziąć pod uwagę wszystkie okoliczności i zrealizować żądanie podmiotu danych z uwzględnieniem wszystkich warunków zawartych w art. 17 RODO.
