Na czym polega prawo do bycia zapomnianym według RODO?
Prawo do bycia zapomnianym to niewątpliwie jedno z fundamentalnych zagadnień w kontekście przepisów o ochronie danych osobowych. W toku prac legislacyjnych problem ten wywoływał bardzo szeroką i burzliwą dyskusję. Przeciwni zmianom, które stanowiły pewne zagrożenie dla szczególnych modeli biznesowych bazujących na wykorzystaniu danych osobowych w celach reklamowych i analitycznych, byli głównie dostawcy portali społecznościowych. W dyskusji podnoszony był także argument wolności wypowiedzi, którą prawo do bycia zapomnianym w pewnym stopniu ogranicza. Ponadto, prawo to może być swoistym narzędziem do ucieczki od niechlubnej przeszłości (czyli istnieje ryzyko instrumentalnego wykorzystywania).
Ostatecznie, prawo do bycia zapomnianym, pomimo oporu i wątpliwości zostało uchwalone i obowiązuje w ramach przepisów rozporządzenia o ochronie danych osobowych.
W świetle obowiązującego prawa, administratorzy mają obowiązek odpowiedniego dostosowania procedur wewnętrznych (pod rygorem możliwości nałożenia wysokich kar administracyjnych) zapewniających skuteczne egzekwowanie prawa do bycia zapomnianym.
Najogólniej mówiąc, prawo do bycia zapomnianym, określone w art. 17 Rozporządzenia o ochronie danych osobowych (RODO) polega na tym, że osoba (której dane dotyczą), ma prawo:
- żądania od administratora niezwłocznego usunięcia danych osobowych (które jej dotyczą);
- żądania, aby administrator poinformował innych administratorów (którym udostępnił dane osobowe danej osoby), że dana osoba zażądała usunięcia danych oraz wszystkich łączy prowadzących do danych.
W przypadku zgłoszenia żądania usunięcia danych osobowych, na administratorze spoczywa obowiązek niezwłocznego usunięcia wszystkich przetwarzanych przez niego danych osobowych. Administrator musi zatem przedsięwziąć wszelkie odpowiednie środki (techniczne i organizacyjne) pozwalające na całkowite i definitywne usunięcie danych osoby, która skorzystała z przysługującego jej prawa do bycia zapomnianym. Jednocześnie należy podkreślić, że aby można było uznać, że czyjeś dane osobowe zostały skutecznie i całkowicie usunięte, należy je usunąć przede wszystkim z serwerów, dysków, poczty, plików itp.
Warto ponadto zaznaczyć, że nie musi dochodzić do rzeczywistego wykorzystywania danych osobowych, poprzez ich rozpowszechnianie czy ujawnianie, żeby można było skutecznie dochodzić prawa do bycia zapomnianym, gdyż już sam fakt przechowywania danych osobowych (administrowanie danymi), daje możliwość zgłoszenia takiego żądania.
W myśl obowiązującego prawa w zakresie ochrony danych osobowych, prawo do bycia zapomnianym nie ma jednak charakteru bezwzględnego, oznacza to że administrator nie zawsze ma obowiązek usunąć przechowywane dane. Ograniczenie żądania usunięcia danych dotyczy między innymi:
- korzystania z prawa do wolności informacji i wypowiedzi (przede wszystkim w działalności dziennikarskiej);
- obowiązywania szczególnego przepisu nakazującego przetwarzanie danych osobowych;
- sytuacji, gdy przetwarzanie danych jest niezbędne do dochodzenia albo obrony uzasadnionych roszczeń.
Przykładem sytuacji, w której wyłączone jest prawo do bycia zapomnianym, jest obowiązek pracodawcy gromadzenia dokumentacji pracowniczej (przez 50 lub 10 lat) bądź uprawnienie sprzedawców on-line, którzy muszą przechowywać dane, w związku z uprawnieniami kupujących wynikającymi np. z gwarancji. Dopiero w momencie, gdy ustaną podstawy do przetwarzania danych, administrator będzie zobowiązany do ich usunięcia.