Prawo do usunięcia danych – jak realizować ?   (art. 17 RODO)

Kiedy można żądać usunięcia danych osobowych?

Prawo do usunięcia danych osobowych przysługuje wyłącznie osobie, której dane dotyczą, w konkretnych przypadkach opisanych dokładniej właśnie w art. 17 RODO. Jest to jedno z najczęściej przywoływanych uprawnień i zarazem jedno z tych bardziej złożonych.

Według art. 17 RODO żądanie usunięcia danych można zgłosić, jeśli:

• Dane nie są już potrzebne do celu, w jakim zostały zebrane. Przykładowo klient zakończył współpracę, a jego dane są nadal przetwarzane.

• Wycofano zgodę i nie ma innej podstawy prawnej do przetwarzania danych, np. dana osoba zapisała się do newslettera, ale się z niego nie wypisała.

• Zgłoszono sprzeciw wobec przetwarzania danych, np. nie chcesz, aby Twoje dane były wykorzystywane w celach marketingowych.

• Dane były przetwarzane niezgodnie z prawem, bez podstawy prawnej, z naruszeniem zasad RODO.

• Zachodzi obowiązek prawny ich usunięcia, wynikający z przepisów krajowych lub rozporządzeń unijnych.

• Dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku, np. rejestracja dziecka w aplikacji mobilnej bez zgody rodzica.

W powyższych sytuacjach administrator nie zawsze musi usunąć dane. RODO przewiduje wyjątki, o których dowiesz się w dalszej części tekstu.

Kiedy administrator może odmówić usunięcia danych?

Mimo, że prawo do bycia zapomnianym brzmi absolutnie, nie ma charakteru bezwzględnego. Administrator może legalnie odmówić usunięcia danych osobowych wtedy, gdy przetwarzanie ich nadal jest niezbędne z jednej z przyczyn wskazanych w art. 17 ust. 3 RODO. Możemy określić najczęstsze przypadki, w których taka sytuacja ma miejsce.

1. Obowiązek prawny.

Jeśli administrator ma obowiązek prawny dalszego przechowywania danych (np. z przepisów o rachunkowości, podatkach, zatrudnieniu), nie może ich usunąć, dopóki obowiązek ten trwa.

Przykład: Biuro rachunkowe musi przechowywać dane klientów przez 5 lat, mimo żądania usunięcia.

2. Realizacja prawa do wolności wypowiedzi i informacji.

Danych nie usuwa się, jeśli są one przetwarzane w ramach dziennikarstwa informacyjnego, badań naukowych czy publicystyki, chronionych prawem do wolności wypowiedzi i informacji. Warto przytoczyć tutaj motyw 153 RODO: „Prawo państw członkowskich powinno godzić przepisy regulujące wolność wypowiedzi i informacji, w tym wypowiedzi dziennikarskiej, akademickiej, artystycznej lub literackiej, z prawem do ochrony danych osobowych…”.

3. Wykonanie zadania realizowanego w interesie publicznym w dziedzinie zdrowia publicznego lub sprawowanie władzy publicznej zgodnie art. 9 ust. 2 lit. h i lit. i oraz art. 9 ust 3.

Dotyczy głównie instytucji publicznych i organów władzy, przetwarzających dane zgodnie z obowiązującymi przepisami.

Art. 9 ust. 1 RODO wskazuje, że chodzi o dane: „ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, religijne, światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”.

Przetwarzanie danych może być konieczne w celu profilaktyki zdrowotnej czy zapewnienia odpowiedniej opieki, a ich usunięcie mogłoby to uniemożliwić.

4. Cele archiwalne, naukowe, historyczne lub statystyczne.

Gdy dane są potrzebne do badań naukowych, historycznych lub statystycznych czy archiwizacji publicznej zgodnie art. 89 ust. 1.,a ich usunięcie uniemożliwiłoby osiągnięcie celu przetwarzania administrator ma prawo odmówić. Jednak musi on przedstawić twierdzenia przekonujące o słuszności racji odmowy.

5. Ustalenie, dochodzenie lub obrona roszczeń

Administrator może zachować dane, jeśli są one potrzebne do ustalenia, dochodzenia lub obrony roszczeń prawnych, wg. art. 6. ust. 1 lit f.

Przykład: Firma zachowuje dane klienta po zakończeniu umowy, gdyż trwa spór o wykonanie usługi.

Jasno widać, że nie każda prośba o zapomnienie musi zostać zrealizowana bezwzględnie. Dlatego tak ważna jest analiza podstawy przetwarzania i aktualnych obowiązków administratora.

Jak zgłosić żądanie usunięcia danych?

Aby złożyć żądanie usunięcia danych osobowych, nie jest konieczne wypełnianie specjalnego formularza. RODO daje osobie fizycznej prawo do zgłoszenia takiego żądania w dowolnej formie. Może więc odbyć się to pisemnie, elektronicznie (np. mailowo), a nawet ustnie.

Aby zgłoszenie było skuteczne i mogło zostać prawidłowo rozpatrzone, powinno zawierać:

• dane identyfikujące osobę żądającą (imię, nazwisko, e-mail),

• wskazanie, jakiego zakresu danych dotyczy wniosek (np. dane z newslettera, konta użytkownika, historii zakupów),

• powód żądania – czyli podstawę prawną z art. 17 ust. 1 RODO (np. wycofanie zgody, brak podstawy przetwarzania, sprzeciw wobec przetwarzania).

Przykładowy wzór: „Proszę o usunięcie moich danych osobowych z Państwa bazy klientów, ponieważ wycofałem zgodę na przetwarzanie danych w celach marketingowych.”

A jak wygląda procedura po stronie administratora?

1. Najpierw weryfikacja tożsamości wnioskodawcy. Administrator musi upewnić się, że żądanie pochodzi od właściwej osoby. W razie konieczności, gdy będzie miał wątpliwości, może poprosić o dodatkowe dane identyfikacyjne.

2. Następnie analiza podstawy żądania. Administrator sprawdza, czy żądanie jest zasadne i czy nie występują przesłanki uniemożliwiające usunięcie danych, np. obowiązek prawny.

3. Ostatecznie odpowiedź do 30 dni. Administrator ma obowiązek odpowiedzieć na żądanie bez zbędnej zwłoki, nie później niż w ciągu 30 dni od dnia uzyskania żądania. W uzasadnionych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące – ale z podaniem przyczyny.

Ważne! Jak wskazuje art. 19 RODO, gdy dane zostaną usunięte, administrator powinien poinformować o tym osobę, której dotyczą, i zarazem powiadomić o tym inne podmioty, którym dane zostały udostępnione, jeśli jest to technicznie możliwe.

Obowiązki administratora po usunięciu danych

Usunięcie danych osobowych na żądanie osoby fizycznej nie polega jedynie na mechanicznym wykasowaniu ich z systemu. Zgodnie z art. 17 RODO administrator ma obowiązki dodatkowe, których celem jest zagwarantowanie, że dane rzeczywiście zostały usunięte z całego środowiska przetwarzania i nie będą dalej wykorzystywane w żaden sposób.

Co dokładnie musi zrobić w związku z tym administrator?

1. Należy usunąć dane ze wszystkich systemów, w których były przetwarzane – chodzi zarówno o bazy danych, systemy CRM, kopie zapasowe, jak i nośniki papierowe. Oczywiście musi zostać to zrealizowane z uwzględnieniem technicznych możliwości i czasu retencji backupów.

2. Musi zablokować dostęp do danych, które nie mogą być fizycznie usunięte natychmiast – np. z archiwum lub kopii bezpieczeństwa. Takie dane nie mogą być już aktywnie wykorzystywane do żadnych celów.

3. Musi poinformować podmioty, którym dane zostały udostępnione – chodzi o odbiorców danych. Np. gdy firma przekazywała dane do zewnętrznej księgowości, platformy mailingowej lub systemu do fakturowania, musi poinformować te podmioty o żądaniu usunięcia danych zgodnie z art. 19 RODO, chyba że okaże się to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Przykład: Klient e-commerce zażądał usunięcia swojego konta. Administrator musi usunąć dane z systemu sklepu i powiązanego narzędzia do wysyłki newsletterów. Musi również poinformować firmę księgową, która przetwarzała dane klienta w celu wystawiania faktur.

Typowe problemy i błędy w realizacji prawa do bycia zapomnianym

Prawo do usunięcia danych wydaje się proste w teorii, ale jego realizacja niekiedy sprawia administratorom pewne problemy. Błędy pojawiają się zarówno po stronie formalnej, jak i technicznej, a ich skutki mogą być poważne. Najczęściej wnoszone są skargi do UODO, ale można spodziewać się również realnych strat wizerunkowych.

1. Brak procedury realizacji żądań.

Najczęstszy błąd to brak opracowanej i udokumentowanej procedury reagowania na żądanie usunięcia danych. Bez niej firma nie wie kto ma przyjąć wniosek, w jakim terminie odpowiedzieć, jak zweryfikować tożsamość osoby i kto podejmuje decyzję o odmowie lub realizacji żądania.

Przykład: Klient wysyła wiadomość mailową z prośbą o usunięcie jego danych, ale trafia ona do działu marketingu, który nie wie, co ze sprawą zrobić. Wniosek leży bez reakcji, w efekcie czego klient decyduje się złożyć skargę do UODO.

2. Automatyczne odrzucanie żądań.

Zdarza się, że firmy odmawiają usunięcia danych „od ręki”, tłumacząc decyzję np. obowiązkiem przechowywania dokumentów. Natomiast odmowa może dotyczyć wyłącznie danych objętych konkretnym wyjątkiem z art. 17 ust. 3 RODO. Pozostałe informacje trzeba usunąć bezwzględnie!

3. Usunięcie danych tylko z jednego systemu.

Kolejnym błędem jest ograniczenie się do głównej bazy danych i pozostawienie danych w systemach zewnętrznych. Takie działania nie realizują w pełni prawa do bycia zapomnianym wynikającego z przepisów RODO.

4. Nieuwzględnienie kopii zapasowych i logów systemowych.

Administratorzy czasem pomijają fakt, że dane osobowe trafiają również do backupów, archiwów, logów systemowych i ewidencji bezpieczeństwa. Fizyczne usunięcie danych z backupu nie zawsze jest możliwe, ale trzeba je wykluczyć z ponownego przetwarzania i zadbać o to aby nie były przywracane.

5. Brak odpowiedzi w terminie.

Administrator musi odpowiedzieć na żądanie usunięcia danych bez zbędnej zwłoki, najpóźniej w ciągu 1 miesiąca. Przekroczenie tego terminu bez uzasadnienia oznacza naruszenie przepisów, nawet jeśli dane finalnie zostaną usunięte.

Jak może pomóc nasza kancelaria?

Realizacja prawa do usunięcia danych to nie tylko działanie techniczne. Aby tego dokonać, należy przejść cały proces prawny, który wymaga wiedzy, ostrożności i odpowiedzialności.

Pomożemy Ci, jeśli:

• Chcesz uniknąć błędów proceduralnych: opracujemy klarowną procedurę obsługi wniosków RODO zgodną z art. 12 i 17 RODO.

• Nie wiesz, czy musisz usunąć dane: ocenimy, czy rzeczywiście istnieje obowiązek usunięcia danych, czy masz prawo do dalsze ich przetwarzania.

• Masz dane w wielu systemach i u różnych podwykonawców: zweryfikujemy, czy dane są przetwarzane też przez inne podmioty i przygotujemy wzór żądań usunięcia danych dla podmiotów przetwarzających.

• Obawiasz się odpowiedzialności: reprezentujemy w przypadku skarg do UODO lub postępowań związanych z naruszeniem prawa do bycia zapomnianym. Oferujemy pełne wsparcie prawne, dokumentacyjne i proceduralne.

Chcesz się zabezpieczyć: przygotujemy komplet dokumentacji, czyli rejestry czynności przetwarzania, klauzule informacyjne, polityki prywatności i gotowe szablony odpowiedzi na wnioski RODO.

Pytania i odpowiedzi

Zaufali nam