Prawo do bycia zapomnianym było jednym z najbardziej dyskutowanych aspektów RODO w okresie projektowania.
Na czym polega prawo do bycia zapomnianym wg RODO? Zgodnie z art. 17. RODO osoby, których dane są przetwarzane, mają prawo do zgłoszenia administratorom danych osobowych żądania ich bezzwłocznego usunięcia.
W teorii to prawo oznacza, że dane osób które chciałyby zostać „zapomniane”, musiałyby być usunięte z systemu administratora w całości. Takie żądanie należy spełnić jeśli:
– Dane osobowe nie są już niezbędne do celów w których zostały zebrane,
– Osoba, której dane dotyczą, cofnęła zgodę na przetwarzanie,
– Dane osobowe były przetwarzane niezgodnie z prawem.
Dla powyższego obowiązku RODO przewiduje kilka wyjątków, z których należy wymienić: prawny obowiązek dalszego przetwarzania danych (np. na mocy ustawy o rachunkowości czy ordynacji podatkowej) oraz sytuacje związane z ustaleniem, dochodzeniem lub obroną roszczeń (np. przy sporze sądowym z klientem).
W momencie, w którym sytuacje wyjątkowe nie mają zastosowania i osoba prosi o zastosowanie prawa do bycia zapomnianym – dane osobowe należy usunąć, ich wszystkie kopie oraz odnośniki, ale tylko wtedy, gdy nie będzie się to wiązało z koniecznością użycia nadmiernych środków technicznych oraz dużymi kosztami.
Jeśli dane zostały opublikowane w Internecie, administrator powinien upewnić się, że wszystkie linki do tych informacji również zostały skasowane, a kopie usunięte nawet jeśli są w posiadaniu innych podmiotów przetwarzających te dane w imieniu administratora. Nie wystarczy też dezaktywować lub ukryć profil danej osoby w mediach społecznościowych – dane należy usunąć.
Z prawa do bycia zapomnianym mogą skorzystać osoby, które dobrowolnie wyraziły zgodę na przetwarzanie danych osobowych, oraz osoby, których dane zostały pozyskane przez administratora w wyniku prowadzonych działań promocyjnych czy reklamowych. Warto jednak zauważyć, że i tu znajdziemy szereg wyjątków od konieczności egzekwowania przez Administratora prawa do bycia zapomnianym. W wielu przypadkach przetwarzanie jest niezbędne np.
– W celu korzystania z prawa do wolności wypowiedzi i informacji,
– Z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,
– Do ustalenia, dochodzenia lub obrony roszczeń.
W praktyce, z koniecznością usunięcia lub zniszczenia danych osobowych najczęściej spotykamy się w następujących przypadkach:
– Realizacja “prawa do bycia zapomnianym”,
– Przekazanie nośnika lub sprzętu do serwisu napraw,
– Upływ wyznaczonego okresu przetwarzania danych osobowych,
– Utrata przydatności danych osobowych przed upływem wyznaczonego okresu ich przetwarzania.
O okresie przetwarzania danych osobowych lub kryteriach jego ustalenia należy poinformować najpóźniej w momencie pobierania danych (obowiązek informacyjny), i określić go rejestrze czynności przetwarzania. Co pewien czas należy dokonywać stosownego przeglądu i usuwać dane, których okres przetwarzania upłynął. Jeśli dane osobowe mogą być przetwarzane przez różne okresy (np. równocześnie przez 3 lata i przez 5 lat), należy usunąć je lub zniszczyć dopiero po upływie najdłuższego z nich.
Przetwarzając dane osobowe, prędzej czy później trzeba będzie zmierzyć się z ich usunięciem lub zniszczeniem. Warto zatem zawczasu przygotować odpowiednie procedury, a w razie potrzeby nawiązać współpracę z profesjonalnymi podmiotami zajmującymi się utylizacją nośników.
