Artykuł 17 RODO mówi o prawie do usunięcia danych, a innymi słowy o „prawie do bycia zapomnianym”. Zapisy tego artykułu wskazują, że każda osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych. W takim przypadku administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe.
Kiedy administrator ma obowiązek usunięcia danych
Administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Art. 17 ust. 1 RODO
W przypadku gdy:
administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Art. 17 ust. 2 RODO
Czy administrator musi usunąć dane na każde żądanie?
Z pomocą w odpowiedzi na to pytanie przychodzi Artykuł 17 RODO i ust. 3. Określa on kiedy przypadki, o których mowa w ust. 1 i 2 nie mają zastosowania. Nie stosujemy ich w zakresie, w jakim przetwarzanie jest niezbędne
a) do korzystania z prawa do wolności wypowiedzi i informacji;
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
e) do ustalenia, dochodzenia lub obrony roszczeń.
Art. 17 ust. 3 RODO
Dodatkowo motyw (66) wskazuje, że:
aby wzmocnić prawo do „bycia zapomnianym” w internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. Spełniając ten obowiązek administrator powinien podjąć racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych mu środków, w tym dostępnych środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą.
Motyw (66) RODO
O czym warto pamiętać wykonując artykuł 17 RODO
Żądania osób, których dane dotyczą powinny być zrealizowane niezwłocznie. Rozpatrzenie zgłoszenia powinno nastąpić w terminie 30 dni od dnia jego otrzymania. Ze względu na skomplikowany charakter żądania lub liczbę żądań można ten termin przedłużyć o kolejne dwa miesiące.
By móc sprawnie sprawnie i terminowo realizować żądania należy się do tego właściwie przygotować. Z pewnością jednym z pierwszych zagadnień jest opracowanie procedur obsługi żądań. Bez wątpienia kolejną kwestią jest oszacowanie możliwej skali żądań. Może ona być skrajnie różna, a to z kolei wpłynie na rodzaj i wielkość zasobów skierowanych do obsłużenia zgłoszeń. W przypadku małej skali do obsługi wystarczy wskazanie skrzynki mailowej, na którą osoby, których dane dotyczą mogą kierować swoje żądania i arkusz MS Excel. Duża skala może wymagać zastosowania formularzy elektronicznych oraz zautomatyzowanych procesów. Przy bardzo dużej skali żądań warto rozważyć powierzenie obsługi podmiotowi posiadającego doświadczenie zarówno w zagadnieniach związanych z danymi osobowymi, jak też w modelowaniu, automatyzacji i obsłudze procesów biznesowych.
Zawsze należy ocenić zasadność żądania, tj. czy nie zachodzą przesłanki ku temu, by odmówić usunięcia danych (artykuł 17 RODO ust. 3). Niezbędna do realizacji żądania jest także weryfikacja tożsamości osoby, która występuje z żądaniem. Warto pamiętać, że w przypadku posiadania uzasadnionych wątpliwości co do tożsamości osoby występującej z żądaniem, podmiot może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości tejże osoby.
By dowiedzieć się więcej, warto przeczytać także tekst nt. żądań usunięcia danych osobowych i ich terminowej realizacji w systemie do RODO iGDPR. Funkcjonalności systemu związane z terminową realizacją praw osób, których dane dotyczą prezentowane są w zakładce funkcjonalności.