"Jeden człowiek na etacie
może więcej niż zespół ekspertów"
Czym jest prawo do bycia zapomnianym?
Prawo do usunięcia danych zostało opisane w art. 17 RODO. Prawo to oznacza, że dane osób, które chcą zostać „zapomniane” muszą być zlikwidowane w całości z bazy administratora. Administrator zobowiązany jest usunąć te dane osobowe bez zbędnej zwłoki, lecz realizacja tego prawa nie zawsze będzie możliwa z powodu wprowadzenia w RODO wielu włączeń np. usunięcie danych osobowych nie będzie możliwe w sytuacji przetwarzania danych osobowych przez administratora w celu realizacji umowy (art. 6 ust. 1 lit. b RODO), która nadal trwa. Przy czym warto podkreślić, że jeżeli informacje zostały opublikowane w sieci, to ich administrator musi upewnić się, że linki do tych danych również zostały skasowane, podobnie jak ich kopie i repliki. Co więcej, zlikwidowane muszą zostać również wtedy, gdy są w posiadaniu innych podmiotów przetwarzających te dane w imieniu administratora.
Warto zapamiętać, że jeżeli chcemy zostać zapomniani to nie wystarczy, że administrator dezaktywuje lub ukryje nasze konto czy profil w mediach społecznościowych. Dane osobowe powinny zostać w całości usunięte. Najpewniej doniosłe znaczenie dla stosowania „prawa do bycia zapominamy” będzie miało orzeczenie w sprawie dotyczącej Google (C-507/17), w której obywatel francuski złożył skargę do francuskiego organu ochrony danych w zakresie usunięcia z wyników wyświetlanych w wyszukiwarce internetowej dotyczących go informacji. Chociaż sprawa odnosi się do stanu prawnego obowiązującego przed wejściem w życie RODO, to wyrok Trybunału Sprawiedliwości będzie rezonował przez kolejne lata – mówi Bartłomiej Muzaj, specjalista ds. ochrony danych w ODO 24. Nie możemy czuć się bezkarni w internecie. Przykładem mogą być kontrowersyjne wypowiedzi. Jeżeli ich pozostawienie leży w interesie publicznym, zlikwidowanie ich może być niemożliwe. Usunięcie nie będzie możliwe w stosunku do wcześniej upublicznionych danych, jeśli naruszałoby to prawo innych osób do korzystania z wolności wypowiedzi lub prawa do informacji np. nie ma możliwości ingerowania w treść archiwalnych wydań gazet. Podobnie organy podatkowe mogą przetwarzać nasze dane finansowe przez 5 lat od zamknięcia roku podatkowego – dodaje.
A jak to jest poza Unią Europejską?
RODO zostało uchwalone, w celu gwarancji ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz ich swobodnego przepływ. Rozporządzenie stanowi, że osoba fizyczna ma prawo żądania od administratora „niezwłocznego usunięcia dotyczących jej danych osobowych” chyba, że zachodzi jedna z okoliczności wyłączających zastosowania prawa opisanego w art. 17 RODO. Jednak wykładnia i zastosowanie przepisów przez kraje członkowskie może prezentować się w różny sposób. Nierzadko może się okazać, że nie będziemy mieli możliwości bycia całkowicie zapomnianym.
Sporna sprawa pomiędzy osobą fizyczną a przedsiębiorstwem Google odnośnie żądania zlikwidowania z listy wyników wyświetlanych w następstwie wyszukiwania jej imienia i nazwiska pokazuje, że interpretacja tego prawa nie jest prosta. Google zaproponował jako rozwiązanie usunięcie linków jedynie z wyników wyświetlanych jako odpowiedź na wyszukiwania prowadzone z domen krajów Unii oraz tzw. „geo-blokowania” tj. zablokowanie dostępu do danych treści w zakresie państw, gdzie przysługuje prawo do zapomnienia. Rzecznik generalny Trybunału Sprawiedliwości UE podkreślił, że RODO nie reguluje wyraźnie kwestii zakresu terytorialnego prawa do usunięcia linków, choć należy pamiętać, że Trybunał Sprawiedliwości nie jest związany opinią rzecznika generalnego – wyjaśnia Bartłomiej Muzaj, specjalista ds. ochrony danych w ODO 24. RODO w art. 3 ust. 2 wskazuje sytuację, w której ochronie podlega nie tylko obywatel państwa członkowskiego, ale także inne osoby przebywające w Unii, jeśli administrator lub podmiot przetwarzający oferuje towary i usługi oraz monitoruje zachowania (o ile dochodzi do nich w UE) – dodaje.
"Jeden człowiek na etacie
może więcej niż zespół ekspertów"
Potwierdź adres e-mail i pobierz przewodnik
Kliknij w link w e-mailu – od razu pobierzesz przewodnik
„Jak skutecznie wdrożyć NIS2".
Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.
Zapisz się na biuletyn ODO 24
Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Potwierdź swój adres e-mail
Kliknij w link w e-mailu – od razu pobierzesz przewodnik „Jak skutecznie wdrożyć NIS2". Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.