Prawo do bycia zapomnianym - czym jest i dlaczego warto o nim pamiętać?

Prawo do bycia zapomnianym jest rozwiązaniem prawnym, które w dzisiejszym, multimedialnym świecie ma niezwykle duże znaczenie. Prawo to określone zostało w art. 17 Rozporządzenia o ochronie danych osobowych (RODO) i polega na tym, że osoba, której dane dotyczą, ma prawo żądania od administratora usunięcia wszelkich, dotyczących jej danych osobowych oraz żądania aby administrator danych osobowych poinformował innych, pozostałych administratorów (którym już przekazał dane osobowe), że dana osoba (której dane dotyczą), żąda usunięcia wszystkich łączy do tych danych bądź ich kopii.     

W myśl obowiązujących przepisów, w przypadku zgłoszenia żądania usunięcia danych osobowych, administrator jest zobowiązany do ich usunięcia bez zbędnej zwłoki. Ważne jest przy tym, aby administrator podjął wszelkie, odpowiednie środki techniczne oraz organizacyjne, które pozwolą na pełne i definitywne usunięcie danych osobowych klienta.

Warto zaznaczyć, że aby usunąć dane osobowe w sposób właściwy, należy dokonać ich usunięcia z każdego miejsca, w którym doszło do pojawienia się takich danych. Dotyczy to zatem przede wszystkim serwerów, poczty, dysków zewnętrznych i przenośnych oraz plików Word i Excel i wszelkich linków, itd.

Jednocześnie należy pamiętać, że aby skutecznie skorzystać z prawa do bycia zapomnianym nie musi dochodzić do ujawniania, wykorzystywania czy rozpowszechniania danych osobowych, już bowiem sam fakt przechowywania danych osobowych, pozwala na zgłoszenie żądania usunięcia danych osobowych, czyli skorzystania z prawa do bycia zapomnianym.
Najogólniej mówiąc, obowiązek usuwania danych powstaje, w momencie gdy zachodzi jedna ze niżej wskazanych okoliczności:

• osoba, której dane osobowe dotyczą, wycofała swoją zgodę na ich przetwarzanie a nie istnieje inna podstawa do ich przetwarzania,
• dane nie są niezbędne do celów, w związku z którymi zostały zebrane i  przetworzone;
• został zgłoszony (przez osobę, której dane dotyczą) sprzeciw wobec przetwarzania danych dla celów marketingowych bądź w związku ze swoją szczególną sytuacją,
• zachodzą okoliczności, które powodują że dane muszą zostać usunięte „w celu wywiązania się z obowiązku prawnego” wynikającego z prawa unijnego bądź też przewidzianego w prawie danego państwa członkowskiego UE (tj. prawu, któremu podlega administrator danych),
•  dane osobowe były przetwarzane w sposób niezgodny z prawem,
• dane zostały zebrane w celu i w związku z oferowaniem usług bezpośrednia dziecku.

Należy jednak zaznaczyć, że administrator , mimo zgłoszonego przez daną osobę żądania, nie zawsze zobowiązany jest do usunięcia jego danych. Prawo do bycia zapomnianym jest ograniczone przede wszystkim przez:  

• przepis, nakazujący przetwarzanie takich danych,
• prawo do wolności informacji i wypowiedzi (zwłaszcza w zakresie działalności dziennikarskiej),
• okoliczności, w których przetworzenie danych osobowych jest niezbędne do dochodzenia, ustalenia czy też obrony indywidualnych roszczeń.

Przykładem ograniczenia prawa do bycia zapomnianym, są zatem sytuacje gdy pracodawca zobowiązany jest do przechowywania dokumentacji pracowniczej, czy też przechowywanie danych klienta przez sklep internetowy (np. w celu realizacji praw przysługujących kupującemu). W takich sytuacjach administrator zobowiązany będzie do usunięcia danych osobowych, dopiero gdy ustaną wszelkie podstawy do ich dalszego przetwarzania. Jak takie prawo wygląda za granicą można dowiedzieć się np z tej strony: https://www.kredite-darlehen-von-privat.ch/kreditpruefung-darstellung-einer-finanziellen-situation-von-kreditnehmern

Innym, ważnym obowiązkiem administratora danych osobowych (określonym w art. 16 Rozporządzenia o ochronie danych osobowych), jest przestrzeganie tzw. zasady prawdziwości. Najogólniej mówiąc, jest to obowiązek administratora do podjęcia wszelkich rozsądnych działań, aby nieprawidłowe dane osobowe, zostały niezwłocznie usunięte bądź ewentualnie sprostowane (zgodnie z prawdą). W takim przypadku uzupełnienie, poprawa bądź aktualizacja danych jest zrealizowane na skutek odpowiedniego zgłoszenia danej osoby. Administrator ma jednocześnie obowiązek - po podjęciu działań zgodnie z art. 16 RODO - do poinformowania każdego odbiorcy, któremu takie dane osobowe zostały już przekazane. Przy czym administrator nie musi dokonać takiego powiadomienia, jeżeli  wymagałoby to od niego nadmiernego wysiłku bądź byłoby po prostu niemożliwe.