iSecure logo
  • pl
  • en
    • Blog

    Żądanie usunięcia danych osobowych

    Ewa Eluszkiewicz
    Kurs ochrony danych osobowych przez e-mail
    Kategorie

    Wejście RODO w życie sprawiło, że upowszechniona została wiedza o prawach przysługujących osobom, których dane dotyczą. Z różnych przyczyn osoby takie kierują do administratorów swoje żądania, a to z kolei oznacza, że administrator danych musi się z nimi zmierzyć, pochylić nad ich zasadnością.

    Dzisiejszy wpis będzie traktował o jednym z takich praw, jakim jest prawo do żądania usunięcia danych osobowych określone szczegółowo w art. 17 RODO.

    Zgodnie z art. 17 RODO każda osoba, której dane osobowe są przetwarzane ma prawo zwrócić się do administratora danych osobowych z żądaniem usunięcia jej danych osobowych. Administrator ma zaś obowiązek na to żądanie odpowiedzieć, co jak zostanie wskazane poniżej, nie zawsze oznacza uwzględnienie żądania.

    Jeśli administrator korzysta z podmiotów przetwarzających w procesie przetwarzania danych osobowych, powinien pamiętać by zobowiązać taki podmiot, przetwarzający dane osobowe w jego imieniu, do niezwłocznego przekazania sobie takiego żądania. Jest to o tyle istotne, że RODO wymaga by takie żądanie zostało rozpatrzone przez administratora niezwłocznie, nie później jednak niż w terminie miesiąca od jego otrzymania. W wyjątkowych przypadkach termin ten może zostać przedłużony, na zasadach określonych w art. 12 RODO, z uwagi na skomplikowany charakter żądania lub liczbę żądań, o kolejne dwa miesiące.

    Wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. W pierwszej kolejności takie żądanie powinno zostać zweryfikowane pod kątem tego, czy administrator przetwarza dane osobowe osoby składającej żądanie oraz czy żądanie to zostało złożone przez uprawnioną osobę. Administrator, jeśli ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie, powinien zażądać od takiej osoby dodatkowych informacji niezbędnych do potwierdzenia tożsamości. Jeśli na podstawie wskazanych w żądaniu danych osobowych administrator nie jest w stanie jednoznacznie określić, czy dane które przetwarza dotyczą osoby, która zgłosiła żądanie, powinien w miarę możliwości poinformować o tym fakcie taką osobę.  Niejednokrotnie zdarza się, że przekazane administratorowi w żądaniu usunięcia danych dane osobowe nie są wystarczające do zidentyfikowania w bazach właściwej osoby, której dane dotyczą. Imiona i nazwiska mogą się powtarzać, administrator może także dysponować innym zestawem danych niż osoba, której dane dotyczą wskazała w żądaniu usunięcia jej danych. W takich wypadkach uzasadnione będzie poinformowanie osoby żądającej usunięcia danych o zaistniałych przeszkodach w realizacji żądania. Weryfikacja i realizacja żądania może się okazać możliwa dopiero po podaniu dodatkowych danych umożliwiających identyfikację w zasobach administratora.

    Gdy administrator danych dokona wstępnego etapu weryfikacji, zidentyfikuje dane osobowe osoby żądającej ich usunięcia i nie ma uzasadnionych wątpliwości co do tożsamości osoby składającej żądanie, powinien rozważyć jego zasadność. Samo złożenie żądania nie oznacza bowiem konieczności usunięcia danych osobowych osoby żądającej. Może także prowadzić do częściowego uwzględnienia takiego żądania, w zależności od danej sytuacji.

    RODO wskazuje sytuacje w jakich osoby, których dane dotyczą mogą żądać usunięcia swoich danych, a administrator ma obowiązek takie żądanie uwzględnić oraz sytuacje w jakich mimo istnienia uzasadnionych przesłanek do ich usunięcia, dane w określonym zakresie mogą być nadal przetwarzane.

    Administrator powinien usunąć dane zgodnie z żądaniem w sytuacji, gdy:

    1. a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
    2. b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) RODO lub art. 9 ust. 2 lit. a) RODO, i nie ma innej podstawy prawnej przetwarzania;
    3. c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania;
    4. d) dane osobowe były przetwarzane niezgodnie z prawem;
    5. e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
    6. f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

    Każda z przesłanek uzasadniająca usunięcie danych wymaga głębszej analizy ze strony administratora i zbadania procesu przetwarzania danych osobowych osoby żądającej w szerszej perspektywie. Sprawdzenia wymagają podstawy przetwarzania danych osobowych i jego zakres, gdyż prawidłowe ich ustalenie pomaga w odpowiedzi na pytanie, czy spełniona została jedna z powyższych przesłanek do usunięcia danych.  Może się bowiem okazać, że pomimo iż podstawowy cel przetwarzania danych osobowych został już osiągnięty, administrator realizuje także inne cele, o których osoba, której dane dotyczą została wcześniej poinformowana, a więc przetwarzanie danych jest nadal niezbędne dla osiągnięcia celów dla których dane są przetwarzane. Mimo iż osoba, której dane dotyczą cofnęła zgodę, administrator może posiadać inne podstawy przetwarzania danych osobowych, bądź nadrzędne, prawnie uzasadnione podstawy przetwarzania, mimo zgłoszonego sprzeciwu. Ujawnienie w toku rozpatrywania żądania usunięcia danych tych okoliczności powoduje, że administrator danych może odmówić jego spełnienia, a więc w dalszym ciągu będzie uprawniony do przetwarzania danych osobowych.

    Administrator powinien także rozważyć, czy przetwarzanie danych, których dotyczy żądanie nie jest niezbędne, choćby w ograniczonym zakresie:

    1. a) do korzystania z prawa do wolności wypowiedzi i informacji;
    2. b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
    3. c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) RODO oraz i) i art. 9 ust. 3 RODO;
    4. d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że prawo do usunięcia danych osobowych, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
    5. e) do ustalenia, dochodzenia lub obrony roszczeń.

    Może się bowiem zdarzyć, że pomimo zaistnienia przesłanek do usunięcia danych osobowych zgodnie z żądaniem osoby, której dane dotyczą, dalsze przetwarzanie danych w pewnym zakresie będzie niezbędne dla osiągnięcia wskazanych powyżej celów, które uzasadniają odmowę usunięcia danych. Przykładowo, gdy umowa, której realizacja była podstawą przetwarzania danych osobowych została zrealizowana, a więc przetwarzanie osiągnęło swój cel, administrator nadal może być zobowiązany przez przepisy prawa do przechowywania określonych danych w celach księgowych lub podatkowych, może także posiadać prawnie uzasadniony interes w dalszym przechowywaniu danych osobowych niezbędnych do ustalenia, dochodzenia lub obrony roszczeń. W takich sytuacjach administrator może nie uwzględnić zgłoszonego żądania usunięcia danych osobowych.

    W wyniku przeprowadzonej weryfikacji może także okazać się, że złożone żądanie powinno zostać uwzględnione jedynie w części, gdyż wskazane powyżej sytuacje uzasadniające żądanie ich usunięcia lub odmowę takiego usunięcia zaistniały co do części przetwarzanych danych osobowych i pozwalają na usunięcie części danych osobowych.

    W związku ze złożonym żądaniem usunięcia danych na administratorze ciąży także dodatkowy obowiązek, który aktualizuje się w sytuacji, gdy administrator upublicznił dane objęte żądaniem ich usunięcia i ma obowiązek usunięcia tych danych osobowych (a nie zachodzą przesłanki umożliwiające odmowę takiego żądania). W takiej sytuacji, administrator, biorąc pod uwagę dostępną technologię i koszt realizacji , zobowiązany jest podjąć rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o tym że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Administrator powinien więc ustalić także, czy w trakcie przetwarzania danych osobowych objętych żądaniem ich usunięcia, nie zostały one upublicznione oraz ustalić innych administratorów, których należy poinformować o złożonym żądaniu usunięcia danych (podejmując rozsądne działania).

    Administrator po weryfikacji żądania usunięcia danych zobowiązany jest o jej wynikach poinformować osobę, która takie żądanie złożyła. Informacja ta powinna zostać sformułowana prostym, łatwo zrozumiałym dla odbiorcy językiem. Osoba, która żądała usunięcia danych osobowych, w przypadku nie uwzględnienia żądania powinna także zostać poinformowana o prawie wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Michał Sztąberek

    Co powinna zawierać procedura wykonywania kopii zapasowych?

    Procedura wykonywania kopii zapasowych (backupów) jest jednym z istotniejszych elementów budowania systemu ochrony danych osobowych, ale też zapewnienia ciągłości działania w kontekście szerszym, bo dotyczącym wszystkich istotnych dla organizacji informacji. Kiedy taka procedura może się przydać (przy założeniu, że została wdrożona i jest stosowana)? Na pewno w przypadku awarii systemu informatycznego, ale też w sytuacji […]

    Czytaj więcej
    Olga Skotnicka

    Budowanie RODO świadomości w organizacji – bo pracownik stanowi jeden z kluczowych elementów systemu ochrony danych

    Mimo upływu czasu od wdrożenia RODO, temat świadomości pracowników i współpracowników w każdej organizacji jest tematem nadal interesującym. Pomimo stworzenia części prawno-proceduralnej w organizacji, czyli wdrożenia procedur, dostosowania witryny internetowej, zbudowania rejestrów, obowiązków informacyjnych czy zgód, u osób zarządzających nadal pojawia się niepewność. O szkoleniach i ich rodzajach pisaliśmy już wcześniej tutaj. W dzisiejszym artykule […]

    Czytaj więcej
    Kurs ochrony danych osobowych przez e-mail
    Olga Skotnicka

    Czy znasz prawa osób, których dane przetwarzasz ?

    Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora. Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do: […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki