Prawo do bycia zapomnianym

Artykuł 17 RODO wprowadza tzw. prawo do bycia zapom¬nianym, czyli możliwość żądania, by administrator danych usunął wszelkie informacje dotyczące danej osoby ze wszystkich systemów, w których te dane były przetwarzane. Jeśli administrator upublicznił przedmiotowe dane (np. zamieszczenie na ogólnodostępnej stronie www, zamieszczenie wpisu na portalu społecznościowym), to w ramach realizacji prawa do bycia zapomnianym ma obowiązek powiadomić (w ramach dostępnych technologii) innych administratorów danych, że ktoś zażądał „zapomnienia”. Pozostali administratorzy powinni się również zastosować do żądania.

Prawo do bycia zapomnianym ma znaczenie przede wszystkim w internecie. Jeszcze przed uchwaleniem RODO Trybunał Sprawiedliwości UE wydał wyrok2, w którym nakazał firmie Google usunięcie z wyników wyszukiwania niekorzystnej informacji o pewnej osobie, tzn. konkretnie niewyświetlania tej informacji w wynikach wyszukiwania, jeśli ktoś w wyszukiwarkę wpisał nazwisko tej osoby. Trybunał stwierdził, że osoby prywatne mogą żądać usunięcia dotyczących ich danych z wyników wyszukiwania, ponieważ ich interes – prawo do poszanowania prywatności – jest ważniejszy niż ogólny interes społeczeństwa dotyczący prawa do informacji. Trybunał wskazał, że inaczej może być w przypadku osób publicznych (w szczególności osób sprawujących funkcje publiczne) – wówczas prawo do informacji może okazać się ważniejsze niż prawo do prywatności tej konkretnej osoby.

RODO z jednej strony „wprowadza” skutki wymienionego wyroku do aktu prawnego (czyli „zalecenie” poprzednio wynikające z wyroku staje się bezwzględnie obowiązującym przepisem). Z drugiej strony RODO rozszerza obowiązek wykonywania prawa do bycia zapomnianym na wszystkich administratorów. Na gruncie nowych przepisów mogą więc nastąpić takie sytuacje, w których efekt „zapomnienia” będą musiały spowodować pojedyncze mniejsze firmy w swoich własnych bazach.

Należy pamiętać, że prawo do bycia zapomnianym nie jest bezwzględne. Nie zawsze można go żądać. Gdyby np. klient nie zapłacił wynagrodzenia za wykonaną usługę, a następnie zażądał, by wszelkie jego dane zostały usunięte z bazy, można mu oczywiście odmówić. Dłużnik nie może żądać zapomnienia.

Artykuł 17 RODO wskazuje bowiem, że prawa do zapomnienia nie można się domagać, jeśli przetwarzanie danych jest niezbędne:

  • do korzystania z prawa do wolności wypowiedzi i informacji (np. dziennikarz śledczy publikuje niewygodną historię o jakiejś osobie publicznej, a ta domaga się usunięcia artykułu, powołując się na prawo do bycia zapomnianym – nie może tego żądać);
  • do ustalenia, dochodzenia lub obrony roszczeń – czyli dłużnik nie może domagać się usunięcia jego danych z bazy, bo mamy uprawnienie do pozwania go do sądu i musimy w tym celu znać jego imię, nazwisko i adres zamieszkania;
  • do wywiązania się z prawnego obowiązku – czyli jeśli przepis specjalny nakłada obowiązek pewnych czynności, które wiążą się z przetwarzaniem danych, to podmiot danych nie może zakazać wykonywania tego obowiązku; przykładowo, pracownik, który zwolnił się z pracy i nie chce mieć już nic wspólnego z byłym pracodawcą, nie może żądać usunięcia go z akt pracowniczych, ponieważ przepisy nakazują pracodawcy przechowywanie akt osobowych przez 50 lat (do celów
  • emerytalnych); dane pracownika mogą też być przechowywane (mimo złożenia żądania o bycie zapom­nianym) przez okres przedawnienia ewentualnych roszczeń (na podstawie wskazanej w poprzednim punkcie – obrona i dochodzenie roszczeń), hipotetycznie może się bowiem zdarzyć, że pracownik np. po dwóch latach złoży przeciwko pracodawcy pozew o jakieś dodatkowe elementy wynagrodzenia, zaległą premię itd., mogą się też pojawić roszczenia pracodawcy przeciwko pracownikowi np. z tytułu naruszenia zakazu konkurencji; wszystkie te sytuacje będą mogły stanowić odmowę do wykonania prawa do bycia zapomnianym, niemniej jednak pracownik mógłby np. żądać, by jego dane zostały usunięte ze strony www pracodawcy albo innych stron, na których występował jako pracownik (a teraz już pracownikiem nie jest);
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego (chodzi tu o różnego rodzaju przepisy nakazujące lub stanowiące podstawę do gromadzenia danych o stanie zdrowia, np. na cele zarządzania systemami opieki zdrowotnej, zabezpieczenia społecznego, takiego jak przyznawanie zasiłków chorobowych itp.);
  • do celów archiwalnych w interesie publicznym, naukowych, historycznych lub statystycznych.

Jak widać, wyjątków od możliwości wykonania „pełnego” prawa do bycia zapomnianym jest całkiem sporo.

Ponadto prawo to przysługuje tylko w określonych sytua­cjach – nie zawsze i nie wszędzie. Artykuł 17 ust. 1 RODO wymienia określone sytuacje, gdy można żądać wykonania prawa do bycia zapomnianym:

  • gdy dane przestały być niezbędne do celów, dla których zostały zebrane lub przetwarzane;
  • gdy podmiot danych cofa zgodę, której wcześniej udzielił;
  • gdy podmiot danych wniósł sprzeciw wobec przetwarzania, a nie istnieją nadrzędne interesy, które mogłyby „zablokować” taki sprzeciw;
  • gdy dane osobowe były przetwarzanie niezgodnie z prawem;
  • gdy przepis prawa nakazuje usunięcie danych;
  • gdy dane osobowe były zbierane od dziecka w związku z wykonywaniem na jego rzecz usługi elektronicznej, a następnie to dziecko (najprawdopodobniej już jako osoba dorosła) stwierdza, że nie życzy sobie dalszego przetwarzania.

Audyt organizacji pod kątem dostosowania się do RODO powinien zatem obejmować sprawdzenie, czy organizacja będzie w stanie „niezwłocznie” usunąć dane osobowe, jeśli zażąda tego podmiot danych. Warto jednak uświadomić sobie, że prawo do bycia zapomnianym we wspom­nianych sytuacjach właściwie nie jest żadną rewolucją ani niczym nowym. Tak naprawdę art. 17 RODO powtarza niektóre sytuacje, w których administrator i tak powinien usunąć dane, nawet gdyby nie istniał przedmiotowy przepis.

Oprócz świadomości, kiedy prawo do bycia zapomnianym przysługuje, a kiedy administrator może odmówić jego realizacji, warto zwrócić też uwagę na poniższe okoliczności.
 

Ważne!

Usunięciem danych w rozumieniu art. 17 RODO jest również ich zanonimizowanie. Nie jest więc konieczne „fizyczne” usunięcie informacji z bazy danych. Taki sam efekt zostanie osiągnięty, jeśli dokona się nieodwracalnego szyfrowania lub innej metody trwałej anonimizacji.


Trzeba przy tym pamiętać, że anonimizacja różni się od pseudonimizacji, która polega na nadaniu poszczególnym osobom identyfikatorów. Jeśli jednak administrator dysponuje kluczem, który pozwala na odwrócenie procesu anonimizacji (powtórne przypisanie danych konkretnym osobom), wówczas mamy do czynienia z pseudonimizacją, a nie anonimizacją.
 

Ważne

Prawo do bycia zapomnianym nie obejmuje informacji ujawnionych w rejestrze spółek (KRS). Tutaj nadrzędnym interesem jest pewność obrotu.

 

Ważne

Jeżeli administrator upublicznił dane osobowe, to wykonując żądanie do zapomnienia składane przez konkretną osobę, administrator powinien także podjąć „rozsądne działania”, aby poinformować innych admi­nistratorów o tym żądaniu. Owe „rozsądne działania” mają być stosowane do „dostępnej technologii oraz kosztów realizacji”.

 

Przykład

Właściciel strony www – portalu „plotkarskiego” udostępnił na niej informację o Janie Kowalskim, który poślubił słynną aktorkę Annę Nowak. Po dwóch miesiącach nastąpił rozwód pomiędzy tymi osobami. Jan Kowalski zwraca się do portalu z żądaniem „zapomnienia go”. Jan Kowalski nie jest osobą publiczną, więc jak najbardziej może wnieść sprzeciw wobec przetwarzania jego danych przez portal plotkarski. Portal powinien usunąć z własnej strony www informacje o Janie Kowalskim. Jakie natomiast działania będą „działaniami rozsądnymi, w ramach dostępnej technologii i niewymagające nadmiernych kosztów”, które to działania administrator powinien podjąć, żeby inni administratorzy także wykonali prawo do bycia zapomnianym? Moim zdaniem administrator powinien:

  • w miejscu, w którym poprzednio umieścił informację o ślubie, wstawić komunikat „strona została usunięta” czy jakiś podobny, tak aby linki, które ewentualnie ktoś gdzieś umieścił w internecie, prowadziły obecnie do „pustej strony”;
  • wpisać frazę „Jan Kowalski” w najpopularniejszych wyszukiwarkach internetowych, a następnie zwrócić się e-mailowo do właścicieli witryn www, które pojawiły się w wynikach, aby usunęli Jana Kowalskiego ze swoich serwisów, gdyż ten zażądał wykonania prawa do bycia zapomnianym;
  • jeśli administrator korzysta z narzędzi do monitoringu internetu, może dodatkowo „przeszukać” internet pod kątem występowania hasła np. „ślub Jana Kowalskiego” i „ślub Anny Nowak” i poinformować właścicieli wyszukanych witryn o konieczności wykonania prawa do bycia zapomnianym na rzecz Jana Kowalskiego.