Usunięcie danych osobowych – być zapomnianym

BySylwia Ostrowska

usunięcie danychNa mocy art. 17 RODO każda osoba, której dane osobowe są przetwarzane ma prawo do tego, aby skierować do administratora żądanie o usunięcie danych jej osoby. Ten zaś jest zobowiązany odpowiedzieć na wniesione żądanie.

Korzystając z podmiotów przetwarzających w procesie przetwarzania danych administrator powinien pamiętać, by podmiot ten zobowiązać do niezwłocznego przekazania takiej informacji. (iż żądanie takie wpłynęło) Jest to niezbędne, gdyż RODO wymaga, aby żądanie takie przeanalizować przez administratora bez zbędnej zwłoki. Nie później niż miesiąc od daty jego otrzymania. Na podstawie art. 12 RODO czas rozpatrzenia może się wydłużyć np. z uwagi na trudny charakter żądania o kolejne dwa miesiące.

Obowiązki administratora dotyczące żądania usunięcia danych

Wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. W pierwszej kolejności takie żądanie powinno się zweryfikować po kątem tego, czy administrator przetwarza dane osobowe osoby składającej żądanie oraz czy żądanie to zostało złożone przez osobę uprawnioną. Po wstępnej weryfikacji wniosku może się okazać, że dane osobowe nie są wystarczające. By można było zidentyfikować w bazie właściwą osobę, której dane dotyczą.

Administrator może również dysponować innym zestawem danych niż te które są podane w żądaniu usunięcia danych. Realizacja żądania może się okazać możliwa po podaniu dodatkowych danych umożliwiających identyfikację w zasobach administratora.

Zgłoszenie żądania usunięcia danych nie wiąże się zawsze z koniecznością jego wypełnienia. Zgodnie z RODO występują sytuacje w których nie musimy usuwać danych lub też możemy częściowo uwzględnić takie żądanie. Administrator powinien usunąć dane zgodnie z żądaniem w sytuacji, gdy:

  • dane osobowe zostały zebrane w związku z oferowaniem usług;
  • dane osobowe nie są już niezbędne do celów, w których zbierano je lub w inny sposób przetwarzane;
  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z RODO, i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
  • dane osobowe przetwarza sie niezgodnie z prawem;
  • dane osobowe muszą usunąć w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego.

Administrator musi przeprowadzić analizę każdej z przesłanek uzasadniając usunięcie danych osoby żądającej. Sprawdzić podstawy przetwarzania danych osobowych oraz ich zakres. Dzięki analizie możemy dowiedzieć się czy spełniono jedną z powyższych sytuacji do usunięcia danych.

Przetwarzanie danych po żądaniu ich usunięcia

Może się okazać, że administrator realizuje inne cele, o których osoba, której dane dotyczą wcześniej poinformowano. Tak więc przetwarzanie jej danych jest nadal potrzebne w osiągnięciu celów, dla których są one przetwarzane. Przykładowo dane przetwarzane w oparciu o zgodę, która jest wycofywana można również przetwarzać w oparciu o inną przesłankę. Przykładem może być cel ustalenia dochodzenia lub innych roszczeń. Administrator ma związku z tym inna podstawę przetwarzania przez co ujawnione okoliczności spowodują, że Administrator odmówi spełnienia żądania w pełni, lub spełni je częściowo, dzięki czemu dalej będzie miał podstawę przetwarzania danych.

Administrator analizując przetwarzane dane osoby, której dotyczy żądanie powinien sprawdzić czy nie jest ono niezbędne, choćby w ograniczonym zakresie:

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub do celów statystycznych;
  • do ustalenia, dochodzenia lub obrony roszczeń.

Administrator powinien ustalić także, czy w trakcie przetwarzania danych osobowych objętych żądaniem ich usunięcia, nie upubliczniono ich. Jeżeli tak to ustalić innych administratorów, których należy poinformować o złożonym żądaniu w celu usunięcia tych danych.

Po weryfikacji wniosku administrator ma obowiązek poinformować interesanta o podjętych decyzjach. W przypadku negatywnego rozpatrzenia żądania powinien poinformować o prawie wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.