iSecure logo
Blog

Żądanie usunięcia danych osobowych

Ewa Eluszkiewicz

Wejście RODO w życie sprawiło, że upowszechniona została wiedza o prawach przysługujących osobom, których dane dotyczą. Z różnych przyczyn osoby takie kierują do administratorów swoje żądania, a to z kolei oznacza, że administrator danych musi się z nimi zmierzyć, pochylić nad ich zasadnością.

Dzisiejszy wpis będzie traktował o jednym z takich praw, jakim jest prawo do żądania usunięcia danych osobowych określone szczegółowo w art. 17 RODO.

Zgodnie z art. 17 RODO każda osoba, której dane osobowe są przetwarzane ma prawo zwrócić się do administratora danych osobowych z żądaniem usunięcia jej danych osobowych. Administrator ma zaś obowiązek na to żądanie odpowiedzieć, co jak zostanie wskazane poniżej, nie zawsze oznacza uwzględnienie żądania.

Jeśli administrator korzysta z podmiotów przetwarzających w procesie przetwarzania danych osobowych, powinien pamiętać by zobowiązać taki podmiot, przetwarzający dane osobowe w jego imieniu, do niezwłocznego przekazania sobie takiego żądania. Jest to o tyle istotne, że RODO wymaga by takie żądanie zostało rozpatrzone przez administratora niezwłocznie, nie później jednak niż w terminie miesiąca od jego otrzymania. W wyjątkowych przypadkach termin ten może zostać przedłużony, na zasadach określonych w art. 12 RODO, z uwagi na skomplikowany charakter żądania lub liczbę żądań, o kolejne dwa miesiące.

Wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. W pierwszej kolejności takie żądanie powinno zostać zweryfikowane pod kątem tego, czy administrator przetwarza dane osobowe osoby składającej żądanie oraz czy żądanie to zostało złożone przez uprawnioną osobę. Administrator, jeśli ma uzasadnione wątpliwości co do tożsamości osoby składającej żądanie, powinien zażądać od takiej osoby dodatkowych informacji niezbędnych do potwierdzenia tożsamości. Jeśli na podstawie wskazanych w żądaniu danych osobowych administrator nie jest w stanie jednoznacznie określić, czy dane które przetwarza dotyczą osoby, która zgłosiła żądanie, powinien w miarę możliwości poinformować o tym fakcie taką osobę.  Niejednokrotnie zdarza się, że przekazane administratorowi w żądaniu usunięcia danych dane osobowe nie są wystarczające do zidentyfikowania w bazach właściwej osoby, której dane dotyczą. Imiona i nazwiska mogą się powtarzać, administrator może także dysponować innym zestawem danych niż osoba, której dane dotyczą wskazała w żądaniu usunięcia jej danych. W takich wypadkach uzasadnione będzie poinformowanie osoby żądającej usunięcia danych o zaistniałych przeszkodach w realizacji żądania. Weryfikacja i realizacja żądania może się okazać możliwa dopiero po podaniu dodatkowych danych umożliwiających identyfikację w zasobach administratora.

Gdy administrator danych dokona wstępnego etapu weryfikacji, zidentyfikuje dane osobowe osoby żądającej ich usunięcia i nie ma uzasadnionych wątpliwości co do tożsamości osoby składającej żądanie, powinien rozważyć jego zasadność. Samo złożenie żądania nie oznacza bowiem konieczności usunięcia danych osobowych osoby żądającej. Może także prowadzić do częściowego uwzględnienia takiego żądania, w zależności od danej sytuacji.

RODO wskazuje sytuacje w jakich osoby, których dane dotyczą mogą żądać usunięcia swoich danych, a administrator ma obowiązek takie żądanie uwzględnić oraz sytuacje w jakich mimo istnienia uzasadnionych przesłanek do ich usunięcia, dane w określonym zakresie mogą być nadal przetwarzane.

Administrator powinien usunąć dane zgodnie z żądaniem w sytuacji, gdy:

  1. a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  2. b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) RODO lub art. 9 ust. 2 lit. a) RODO, i nie ma innej podstawy prawnej przetwarzania;
  3. c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania;
  4. d) dane osobowe były przetwarzane niezgodnie z prawem;
  5. e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  6. f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

Każda z przesłanek uzasadniająca usunięcie danych wymaga głębszej analizy ze strony administratora i zbadania procesu przetwarzania danych osobowych osoby żądającej w szerszej perspektywie. Sprawdzenia wymagają podstawy przetwarzania danych osobowych i jego zakres, gdyż prawidłowe ich ustalenie pomaga w odpowiedzi na pytanie, czy spełniona została jedna z powyższych przesłanek do usunięcia danych.  Może się bowiem okazać, że pomimo iż podstawowy cel przetwarzania danych osobowych został już osiągnięty, administrator realizuje także inne cele, o których osoba, której dane dotyczą została wcześniej poinformowana, a więc przetwarzanie danych jest nadal niezbędne dla osiągnięcia celów dla których dane są przetwarzane. Mimo iż osoba, której dane dotyczą cofnęła zgodę, administrator może posiadać inne podstawy przetwarzania danych osobowych, bądź nadrzędne, prawnie uzasadnione podstawy przetwarzania, mimo zgłoszonego sprzeciwu. Ujawnienie w toku rozpatrywania żądania usunięcia danych tych okoliczności powoduje, że administrator danych może odmówić jego spełnienia, a więc w dalszym ciągu będzie uprawniony do przetwarzania danych osobowych.

Administrator powinien także rozważyć, czy przetwarzanie danych, których dotyczy żądanie nie jest niezbędne, choćby w ograniczonym zakresie:

  1. a) do korzystania z prawa do wolności wypowiedzi i informacji;
  2. b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  3. c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) RODO oraz i) i art. 9 ust. 3 RODO;
  4. d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, o ile prawdopodobne jest, że prawo do usunięcia danych osobowych, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
  5. e) do ustalenia, dochodzenia lub obrony roszczeń.

Może się bowiem zdarzyć, że pomimo zaistnienia przesłanek do usunięcia danych osobowych zgodnie z żądaniem osoby, której dane dotyczą, dalsze przetwarzanie danych w pewnym zakresie będzie niezbędne dla osiągnięcia wskazanych powyżej celów, które uzasadniają odmowę usunięcia danych. Przykładowo, gdy umowa, której realizacja była podstawą przetwarzania danych osobowych została zrealizowana, a więc przetwarzanie osiągnęło swój cel, administrator nadal może być zobowiązany przez przepisy prawa do przechowywania określonych danych w celach księgowych lub podatkowych, może także posiadać prawnie uzasadniony interes w dalszym przechowywaniu danych osobowych niezbędnych do ustalenia, dochodzenia lub obrony roszczeń. W takich sytuacjach administrator może nie uwzględnić zgłoszonego żądania usunięcia danych osobowych.

W wyniku przeprowadzonej weryfikacji może także okazać się, że złożone żądanie powinno zostać uwzględnione jedynie w części, gdyż wskazane powyżej sytuacje uzasadniające żądanie ich usunięcia lub odmowę takiego usunięcia zaistniały co do części przetwarzanych danych osobowych i pozwalają na usunięcie części danych osobowych.

W związku ze złożonym żądaniem usunięcia danych na administratorze ciąży także dodatkowy obowiązek, który aktualizuje się w sytuacji, gdy administrator upublicznił dane objęte żądaniem ich usunięcia i ma obowiązek usunięcia tych danych osobowych (a nie zachodzą przesłanki umożliwiające odmowę takiego żądania). W takiej sytuacji, administrator, biorąc pod uwagę dostępną technologię i koszt realizacji , zobowiązany jest podjąć rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe, o tym że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Administrator powinien więc ustalić także, czy w trakcie przetwarzania danych osobowych objętych żądaniem ich usunięcia, nie zostały one upublicznione oraz ustalić innych administratorów, których należy poinformować o złożonym żądaniu usunięcia danych (podejmując rozsądne działania).

Administrator po weryfikacji żądania usunięcia danych zobowiązany jest o jej wynikach poinformować osobę, która takie żądanie złożyła. Informacja ta powinna zostać sformułowana prostym, łatwo zrozumiałym dla odbiorcy językiem. Osoba, która żądała usunięcia danych osobowych, w przypadku nie uwzględnienia żądania powinna także zostać poinformowana o prawie wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Podobne wpisy:

Kurs ochrony danych osobowych przez e-mail
Olga Skotnicka

Czy znasz prawa osób, których dane przetwarzasz ?

Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora. Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do: […]

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych
Agnieszka Rapcewicz

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej […]

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
Olga Skotnicka

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

W drugiej części cyklu o najważniejszych zmianach, jakie wprowadza Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wyjaśniamy na czym polega obowiązek prowadzenia rejestru przetwarzania. W przepisach unijnego Rozporządzenia (RODO) zrezygnowano z często uciążliwego dla administratorów obowiązku rejestracji zbiorów danych osobowych w GIODO.