Prawo do bycia zapomnianym zrobiło się głośnym tematem wraz z wejściem w życie Rozporządzenia o ochronie danych osobowych (RODO). Jednak nie jest to nowa instytucja. Pojawiło się ono już chociażby, w dyrektywie w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ( 95/46/WE).
Czym jest prawo do bycia zapomnianym – informacje z 2022 roku
Prawo do bycia zapomnianym, zwane także prawem do usunięcia danych jest obecnie jednym z praw przysługujących podmiotowi danych na gruncie RODO.
Prawo do bycia zapomnianym zostało opisane w art. 17 RODO. Wskazuje on, że osoba, której dane dotyczą ma prawo wystąpić do administratora z żądaniem niezwłocznego usunięcia dotyczących jej danych.
Administrator musi usunąć dane w przypadku, gdy:
- nie są one już niezbędne do celów, w których zostały zebrane,
- osoba, której dane dotyczą cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej,
- dane osobowe były przetwarzane niezgodnie z prawem,
- dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE albo prawie państwa członkowskiego, któremu podlega administrator,
- dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o którym mowa w art 8 ust 1 RODO.
Prawo do bycia zapomnianym w Internecie
Prawo do bycia zapomnianym ma szczególne znaczenie w przypadku oferowania usług społeczeństwa informacyjnego dzieciom. W przypadku, gdy osoba wyraziła zgodę na przetwarzanie jej danych osobowych jako dziecko, można mówić o tym, że nie była w tamtej chwili w pełni świadoma podjętej decyzji. Motyw 65 RODO wskazuje na to, że osoba ma prawo do żądania usunięcia swoich danych, które udostępniła jako dziecko, nawet jeśli jest już osobą dorosłą. Takie prawo może zrealizować w każdym czasie.
Prawo do bycia zapomnianym- wyjątki
W przypadku prawa do bycia zapomnianym istnieją także wyjątki opisane w RODO. W tym miejscu wskazuje się na:
- prawo do wolności wypowiedzi i informacji,
- wywiązanie się z obowiązku prawnego wymagającego przetwarzania lub wykonywania zadań realizowanych w interesie publicznym lub w ramach władzy publicznej powierzonej administratorowi ( źródłem tego obowiązku może być prawo UE lub państwa członkowskiego, któremu podlega administrator),
- interes publiczny dziedzinie zdrowia publicznego, cele archiwalne w interesie publicznym, do celów badań naukowych lub do celów statystycznych,
- ustalenie, dochodzenie lub obronę roszczeń.
Prawo do bycia zapomnianym w praktyce
Administrator po otrzymaniu żądania, jeżeli zachodzi jedna z okoliczności wskazanych w art. 17 ust.1 RODO powinien niezwłocznie usunąć dane. Usunięcie powinno nastąpić w taki sposób, aby wykluczyć możliwość identyfikacji osoby, której dane dotyczą.
Prawo do bycia zapomnianym w praktyce jest w pewnym sensie ograniczone. Ma ono na celu doprowadzenia do takiej sytuacji, dzięki której, firma będąca administratorem, do którego wpłynęło takie żądanie, rzeczywiście zaprzestanie wykonywania pewnych czynności względem osoby, której dane dotyczą. Tym samym zakończy proces przetwarzania pewnych informacji o osobie, której dane dotyczą. Zazwyczaj podmiot ubiegający się, o realizację prawa do zapomnienia oczekuje, że jego dane zostaną niezwłocznie usunięte, a administrator zapewni skuteczność i nieodwracalność tego działania.
Jednak patrząc z perspektywy administratora danych, oprócz podjęcia działań mających na celu realizację żądania, musi on zadbać o to, aby działania nie na sama realizacja prawa do bycia zapomnianym jest niewystarczająca, należy pamiętać jeszcze o jej udokumentowaniu. Takie spojrzenie na realizację prawa do bycia zapomnianym, związane jest z ujętą w art. 5 RODO zasadą rozliczalności. W praktyce oznacza to, że pomimo realizacji prawa do zapomnienia, pewien ograniczony zakres danych nadal pozostanie w posiadaniu administratora, który będzie mógł zachować złożony wniosek o usunięcie danych oraz odpowiedź udzieloną podmiotowi danych, a działanie takie będzie stanowiło prawnie uzasadniony interes administratora danych.
Prawo do bycia zapomnianym, a inni administratorzy
Ważnym elementem wynikającym z prawa do bycia zapomnianym jest możliwość żądania, aby administrator, który upublicznił dane osobowe poinformował innych administratorów przetwarzających te dane, że osoba, której one dotyczą żąda by administratorzy usunęli wszelkie łącza do tych danych, kopie tych danych lub replikacje. Realizacja powyższego żądania może być ograniczona przez dostępną technologię i koszty realizacji. Działania powinny także mieścić się w granicach działań rozsądnych.
O upublicznieniu możemy mówić nie tylko w przypadku udostępnienia określonemu kręgowi administratorów, ale także w sytuacji opublikowania danych w Internecie. Oczywiście często zdarza się, że określenie kręgu administratorów, którzy przetwarzają upublicznione dane, może być problematyczne, a nawet niemożliwe. W tej sytuacji administrator powinien skontaktować się tylko z tymi podmiotami, co do których jest pewien, że przetwarzają dane objęte zakresem żądania.
Prawo do bycia zapomnianym od początku spotkało się ze sprzeciwem, szczególności wśród administratorów, którzy są podmiotami działającymi w Internecie (głównie podmioty branży marketingowej). Taka postawa nie powinna budzić zdziwienia Ponieważ w pierwszym roku rozpoczęciu stosowania RODO zanotowano, że największa ilość żądań skierowanych do Prezesa Urzędu Ochrony Danych Osobowych stanowiła realizacja prawa do bycia zapomnianym.