iSecure logo
Blog

Żądanie usunięcia danych osobowych

Wejście RODO w życie sprawiło, że upowszechniona została wiedza o prawach przysługujących osobom, których dane dotyczą. Z różnych przyczyn osoby takie kierują do administratorów swoje żądania, a to z kolei oznacza, że administrator danych musi się z nimi zmierzyć, pochylić nad ich zasadnością.

Dzisiejszy wpis będzie traktował o jednym z takich praw, jakim jest prawo do żądania usunięcia danych osobowych określone szczegółowo w art. 17 RODO.

Zgodnie z art. 17 RODO każda osoba, której dane osobowe są przetwarzane ma prawo zwrócić się do administratora danych osobowych z żądaniem usunięcia jej danych osobowych. Administrator ma zaś obowiązek na to żądanie odpowiedzieć, co jak zostanie wskazane poniżej, nie zawsze oznacza uwzględnienie żądania.

Jeśli administrator korzysta z podmiotów przetwarzających w procesie przetwarzania danych osobowych, powinien pamiętać by zobowiązać taki podmiot, przetwarzający dane osobowe w jego imieniu, do niezwłocznego przekazania sobie takiego żądania. Jest to o tyle istotne, że RODO wymaga by takie żądanie zostało rozpatrzone przez administratora niezwłocznie, nie później jednak niż w terminie miesiąca od jego otrzymania. W wyjątkowych przypadkach termin ten może zostać przedłużony, na zasadach określonych w art. 12 RODO, z uwagi na skomplikowany charakter żądania lub liczbę żądań, o kolejne dwa miesiące.

Wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. W pierwszej kolejności takie żądanie powinno zostać zweryfikowane pod kątem tego, czy administrator przetwarza dane osobowe osoby składającej żądanie oraz czy żądanie to zostało złożone przez uprawnioną osobę. Administrator, jeśli ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie, powinien zażądać od takiej osoby dodatkowych informacji niezbędnych do potwierdzenia tożsamości. Jeśli na podstawie wskazanych w żądaniu danych osobowych administrator nie jest w stanie jednoznacznie określić, czy dane które przetwarza dotyczą osoby, która zgłosiła żądanie, powinien w miarę możliwości poinformować o tym fakcie taką osobę.  Niejednokrotnie zdarza się, że przekazane administratorowi w żądaniu usunięcia danych dane osobowe nie są wystarczające do zidentyfikowania w bazach właściwej osoby, której dane dotyczą. Imiona i nazwiska mogą się powtarzać, administrator może także dysponować innym zestawem danych niż osoba, której dane dotyczą wskazała w żądaniu usunięcia jej danych. W takich wypadkach uzasadnione będzie poinformowanie osoby żądającej usunięcia danych o zaistniałych przeszkodach w realizacji żądania. Weryfikacja i realizacja żądania może się okazać możliwa dopiero po podaniu dodatkowych danych umożliwiających identyfikację w zasobach administratora.

Gdy administrator danych dokona wstępnego etapu weryfikacji, zidentyfikuje dane osobowe osoby żądającej ich usunięcia i nie ma uzasadnionych wątpliwości co do tożsamości osoby składającej żądanie, powinien rozważyć jego zasadność. Samo złożenie żądania nie oznacza bowiem konieczności usunięcia danych osobowych osoby żądającej. Może także prowadzić do częściowego uwzględnienia takiego żądania, w zależności od danej sytuacji.

RODO wskazuje sytuacje w jakich osoby, których dane dotyczą mogą żądać usunięcia swoich danych, a administrator ma obowiązek takie żądanie uwzględnić oraz sytuacje w jakich mimo istnienia uzasadnionych przesłanek do ich usunięcia, dane w określonym zakresie mogą być nadal przetwarzane.

Administrator powinien usunąć dane zgodnie z żądaniem w sytuacji, gdy:

  1. a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  2. b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) RODO lub art. 9 ust. 2 lit. a) RODO, i nie ma innej podstawy prawnej przetwarzania;
  3. c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania;
  4. d) dane osobowe były przetwarzane niezgodnie z prawem;
  5. e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  6. f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

Każda z przesłanek uzasadniająca usunięcie danych wymaga głębszej analizy ze strony administratora i zbadania procesu przetwarzania danych osobowych osoby żądającej w szerszej perspektywie. Sprawdzenia wymagają podstawy przetwarzania danych osobowych i jego zakres, gdyż prawidłowe ich ustalenie pomaga w odpowiedzi na pytanie, czy spełniona została jedna z powyższych przesłanek do usunięcia danych.  Może się bowiem okazać, że pomimo iż podstawowy cel przetwarzania danych osobowych został już osiągnięty, administrator realizuje także inne cele, o których osoba, której dane dotyczą została wcześniej poinformowana, a więc przetwarzanie danych jest nadal niezbędne dla osiągnięcia celów dla których dane są przetwarzane. Mimo iż osoba, której dane dotyczą cofnęła zgodę, administrator może posiadać inne podstawy przetwarzania danych osobowych, bądź nadrzędne, prawnie uzasadnione podstawy przetwarzania, mimo zgłoszonego sprzeciwu. Ujawnienie w toku rozpatrywania żądania usunięcia danych tych okoliczności powoduje, że administrator danych może odmówić jego spełnienia, a więc w dalszym ciągu będzie uprawniony do przetwarzania danych osobowych.

Administrator powinien także rozważyć, czy przetwarzanie danych, których dotyczy żądanie nie jest niezbędne, choćby w ograniczonym zakresie:

  1. a) do korzystania z prawa do wolności wypowiedzi i informacji;
  2. b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  3. c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) RODO oraz i) i art. 9 ust. 3 RODO;
  4. d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że prawo do usunięcia danych osobowych, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
  5. e) do ustalenia, dochodzenia lub obrony roszczeń.

Może się bowiem zdarzyć, że pomimo zaistnienia przesłanek do usunięcia danych osobowych zgodnie z żądaniem osoby, której dane dotyczą, dalsze przetwarzanie danych w pewnym zakresie będzie niezbędne dla osiągnięcia wskazanych powyżej celów, które uzasadniają odmowę usunięcia danych. Przykładowo, gdy umowa, której realizacja była podstawą przetwarzania danych osobowych została zrealizowana, a więc przetwarzanie osiągnęło swój cel, administrator nadal może być zobowiązany przez przepisy prawa do przechowywania określonych danych w celach księgowych lub podatkowych, może także posiadać prawnie uzasadniony interes w dalszym przechowywaniu danych osobowych niezbędnych do ustalenia, dochodzenia lub obrony roszczeń. W takich sytuacjach administrator może nie uwzględnić zgłoszonego żądania usunięcia danych osobowych.

W wyniku przeprowadzonej weryfikacji może także okazać się, że złożone żądanie powinno zostać uwzględnione jedynie w części, gdyż wskazane powyżej sytuacje uzasadniające żądanie ich usunięcia lub odmowę takiego usunięcia zaistniały co do części przetwarzanych danych osobowych i pozwalają na usunięcie części danych osobowych.

W związku ze złożonym żądaniem usunięcia danych na administratorze ciąży także dodatkowy obowiązek, który aktualizuje się w sytuacji, gdy administrator upublicznił dane objęte żądaniem ich usunięcia i ma obowiązek usunięcia tych danych osobowych (a nie zachodzą przesłanki umożliwiające odmowę takiego żądania). W takiej sytuacji, administrator, biorąc pod uwagę dostępną technologię i koszt realizacji , zobowiązany jest podjąć rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o tym że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Administrator powinien więc ustalić także, czy w trakcie przetwarzania danych osobowych objętych żądaniem ich usunięcia, nie zostały one upublicznione oraz ustalić innych administratorów, których należy poinformować o złożonym żądaniu usunięcia danych (podejmując rozsądne działania).

Administrator po weryfikacji żądania usunięcia danych zobowiązany jest o jej wynikach poinformować osobę, która takie żądanie złożyła. Informacja ta powinna zostać sformułowana prostym, łatwo zrozumiałym dla odbiorcy językiem. Osoba, która żądała usunięcia danych osobowych, w przypadku nie uwzględnienia żądania powinna także zostać poinformowana o prawie wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Podobne wpisy:

Profilowanie klientów – nowe plany zarobkowe Alior Banku

Powierzenie po duńsku, czyli jak przy pomocy klocków w art. 28 ust. 3 stworzyć umowę powierzenia?

Od czasu wejścia w życie RODO minęło już ponad dwa lata. 25 maja 2018 roku umowa powierzenia była niemalże całkowicie nieznana biznesowi, a idea zawierania umowy w przypadkach przetwarzania danych osobowych w imieniu zlecającego dopiero nabierała na znaczeniu – mimo, że samo umowne powierzanie danych osobowych było obowiązkiem jeszcze przed obowiązywaniem stosowania RODO (na podstawie ustawy […]

Czy pracownicy ochrony mogą żądać okazania dokumentu tożsamości w celu weryfikacji gościa?

Niewątpliwie, każdy z nas miał sytuację, w której to został poproszony o wylegitymowanie się dokumentem tożsamości – w celu weryfikacji zgodności danych osobowych. Mimo, że RODO obowiązuje od 2018 roku – znaczenie i stopień zagrożenia związany z przekazywaniem / udostępnianiem danych osobowych jest nadal na przeciętnym poziomie.  Z łatwością mogłabym wskazać osoby, które w takiej […]

Obowiązki pracodawcy w zakresie ochrony danych osobowych, który wprowadził PPK dla swoich pracowników

Zgodnie z ustawą z dnia 4 października 2018 r. o pracowniczych planach kapitałowych każda organizacja, która zatrudnia co najmniej jedną osobę podlegającą obowiązkowo ubezpieczeniom emerytalnemu i rentowemu, musi otworzyć pracownicze plany kapitałowe (PPK) dla swoich pracowników i zleceniobiorców. PPK są prowadzone przez instytucję finansową na podstawie umowy o prowadzenie PPK, zawieranej przez pracodawcę w imieniu […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki