Prawo do bycia zapomnianym w RODO

Materiał partnera
opublikowano: 21-12-2017, 22:00

KOMENTARZ PARTNERA

KATARZYNA UŁASIUK

kierownik Zespołu Ochrony Danych Osobowych iSecure sp. z o.o.

Ogólne rozporządzenie o ochronie danych (RODO) podkreśla prawo do żądania, aby dane osobowe były usuwane. Prawo to jest pokłosiem i rozwinięciem wniosków, do jakich doszedł Trybunał Sprawiedliwości Unii Europejskiej w wyroku „Google Spain i Inc przeciwko Agencia Española De Protección De Datos (Aepd) i Mario Costeja Gonzáles” (C-131/12), gdzie podkreślono prawo osoby do bycia usuniętą z listy wyników wyszukiwania.

Klient zawsze ma prawo żądać, aby jego dane zostały niezwłocznie usunięte, jednak firmaje przetwarzająca ma je usunąć tylko wtedy, kiedy spełnia się jeden z warunków. Chodzi o sytuacje, gdy: nie są one już niezbędne do celów, w których były przetwarzane (np. zostały zebrane do przeprowadzenia jednego procesu rekrutacji, który się skończył), klient wycofał zgodę i nie ma innych podstaw, aby przetwarzać jego dane (np. odwołał zgodę na przetwarzanie w celu otrzymywania ofert handlowych elektronicznie i nie mamy poza tym innych relacji z tym klientem), klient wnosi sprzeciw (np. gdy jego dane są wykorzystywane na podstawie prawnie usprawiedliwionego celu do marketingu bezpośredniego prowadzonego w formie papierowej), firma przetwarzała dane bez podstawy prawnej (np. nigdy nie miała zgody na udostępnienie wizerunku, choć powinna ją mieć), ma usunąć dane, aby wywiązać się z obowiązku prawnego lub zbierała dane w związku z usługami tzw. społeczeństwa informacyjnego kierowanymibezpośrednio do dzieci (np. portale internetowe). Jeżeli któryś z tych warunków jest spełniony, administrator danych musi je usunąć bez zbędnej zwłoki.

W praktyce usunięcie danych to nie ich oznaczenie jako „nieaktywne”, dopisanie do nich atrybutu „0” w systemie itd. Chodzi o takie ich przetworzenie, aby nie dało się ich odczytać, odzyskać z powrotem, chodzi np. o trwałe wymazanie danych z bazy (również kopii zapasowych) lub nadpisanie danych osobowych innymi wartościami (np. ciągiem znaków, tzw. anonimizacja). Dodatkowo, jeżeli firma upubliczniła dane, to musi poinformować innych administratorów, że dana osoba żąda, aby usunęli oni wszelkie łącza do tych danych, ich kopie lub ich replikacje. Żeby spełnić ten wymóg, firma musi przede wszystkim wiedzieć, komu upubliczniła dane. W praktyce dobrym rozwiązaniem jest prowadzenie np. rejestru odbiorców, którym dane się udostępnia, aby informacje te były na bieżąco odnotowywane.

Trzeba pamiętać o tym, że mimo spełnienia wszystkich opisanych powyżej warunków dane nie będą usuwane niezwłocznie. Może tak się zdarzyć, ale tylko wtedy, gdy ich przetwarzanie jest niezbędne do: korzystania z prawa do wolności wypowiedzi i informacji, wywiązania się z prawnego obowiązku, któremu podlega administrator, wykonania zadania w interesie publicznym lub w ramach władzy publicznej, z uwagi na interes publiczny w dziedzinie zdrowia publicznego, w celach archiwalnych w interesie publicznym, badań naukowych lub historycznych, w celach statystycznych, jak też do ustalenia, dochodzenia lub obrony roszczeń. Zwłaszcza ten ostatni argument, np. w przypadku sporu z klientem, może dać firmie podstawę do powstrzymania się od niezwłocznego usunięcia danych — do czasu rozwiązania sporu. © Ⓟ

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Materiał partnera

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Inne / Prawo do bycia zapomnianym w RODO