Usunięcie danych osobowych i prawo do bycia zapomnianym

Usunięcie danych osobowych i prawo do bycia zapomnianym

Ochrona danych osobowych to w dzisiejszym świecie sprawa bardzo poważna. Organy prawne wprowadzają coraz to nowe przepisy o ochronie danych osobowych mające chronić obywateli i dawać im jak najwięcej praw. Aktualne rozporządzenie o ochronie danych osobowych, znane szerzej pod nazwą RODO, w artykule 17 ust. 1 ustanawia prawo do usunięcia danych osobowych, to jest prawo do bycia zapomnianym przez podmiot gromadzący dane osobowe. Realizacja założeń prawa do bycia zapomnianym może odbywać się na podstawie jednego z kilku mogących zaistnieć warunków. Jakie warunki trzeba spełnić, żeby skorzystać z prawa do bycia zapomnianym oraz jakie obowiązki spadają na administratora danych w świetle zmiany ustawy o ochronie danych osobowych? Odpowiadamy.

Czym jest prawo do bycia zapomnianym?

Zmiana ustawy o ochronie danych osobowych, jak zostało wspomniane, wprowadza prawo do bycia zapomnianym. Konkretne działania, jakie musi podjąć administrator danych osobowych, to całkowite usunięcie danych osoby, która korzysta z tego prawa, z systemu gromadzącego dane osobowe. Ochrona ta, to jest skorzystanie z możliwości usunięcia danych, odbywa się na podstawie spełnienia jednego z następujących warunków:

  • dane osobowe, które zostały pozyskane i podlegają przetwarzaniu, nie są już niezbędne administratorom w realizacji zakładanych celów;
  • zgoda na przetwarzanie danych osobowych wydana przez dany podmiot została przez niego wycofana, przy czym obowiązujące podstawy prawne nie uprawniają, pomimo cofnięcia zgody, do przetwarzania danych;
  • występuje sprzeciw podmiotu, którego dane osobowe są przetwarzane, a żadne nadrzędne podstawy prawne nie zezwalają na dalsze przetwarzanie danych;
  • występuje sprzeciw podmiotu do przetwarzania danych osobowych w celach marketingowych (marketing bezpośredni, profilowanie);
  • występowanie braku zgodności z RODO lub innymi przepisami określonymi prawem;
  • zebrane dane osobowe zostały pozyskane w celu ofertowania bezpośredniego (portale społecznościowe, e-commerce) dla osób poniżej 16 roku życia.

Nowa ustawa o ochronie danych osobowych daje możliwość na ustalenie niższej granicy wieku. Na terenie Polski granicą wieku ustaloną na podstawie RODO ma być 13 lat.

Prawo do bycia zapomnianym daje możliwość całkowitego usunięci danych osobowych. Wypełnienie zapisów tego fragmentu ustawy leży w obowiązkach administratora danych.

Obowiązki administratora danych

Do zadań administrator danych osobowych należy zbieranie danych osobowych, przetwarzanie danych osobowych oraz nadzorowanie tych procesów. W momencie skorzystania przez podmiot z prawa do bycia zapomnianym, administrator zobowiązany jest do wypełnienia założeń tego prawa. Oznacza to, że administratorzy oraz podmioty przetwarzające dane osobowe muszą modyfikować cały proces pracy na danych. Nowe przepisy o ochronie danych osobowych są bardzo dużym wyzwaniem dla administratorów. W przypadku zaistnienia bardzo dużej ilości zgłoszeń wynikających z prawa do bycia zapomnianym, może pojawić się problem z szybkim wypełnianiem zapisów prawa. Dotyczy to przede wszystkim bardzo dużych baz danych, jak na przykład serwisy internetowe. Istnieje również ryzyko dostosowania systemów, które mogą nie posiadać wariantu wymazywania danych. Administratorzy będą musieli w bardzo krótkim czasie z tym sobie poradzić. Administrator baz danych nie tylko będzie nadzorował usuwanie danych, ale także do jego obowiązków należeć będzie weryfikacja, czy dane zostały całkowicie usunięte np. z internetu (jeżeli były tam publikowane), łącznie z wszystkimi kopiami i replikami. Sprawa tyczy się nawet przypadków, kiedy dane osobowe zostały przekazane przez administratora innemu podmiotowi przetwarzającemu dane w imieniu administratora. Portale społecznościowe oraz inne strony, na których zakładane są konta, w przypadku skorzystania przez podmiot z prawa osoby do bycia zapomnianym, zobowiązane są nie tylko do dezaktywacji konta, ale całkowitego wymazania danych osobowych. Co więcej, administratorzy danych osobowych, w świetle rozporządzenia, zobowiązani są do usunięcia wszystkich treści, które przechowywane są przez osoby trzecie w celu zapewnienia realizacji praw przez podmioty, których dane dotyczą. Przed administratorami danych osobowych bardzo poważne i niezwykle trudne zadanie.