Prawo do bycia zapomnianym – usunięcie danych na podstawie RODO

autor: Konrad Makar

03.09.2019

Prawo do bycia zapomnianym – usunięcie danych na podstawie RODO

Ostatnimi czasy, bardzo często spotykam się z pytaniem co zrobić, gdy osoba fizyczna żąda „usunięcia jej danych osobowych na podstawie RODO”. Wątpliwości rodzą się zarówno po stronie stowarzyszeń, klubów, związków sportowych, jak i można na nie trafić śledząc media społecznościowe. W dniu dzisiejszym odniosę się do przepisów RODO[1] regulujących tę materię, które wskazują kiedy należy sprostać żądaniu osoby fizycznej, a kiedy można usunięcia jej danych odmówić.

Przesłanki, uprawniające do skorzystania z „prawa do bycia zapomnianym” znalazły się w art. 17 ust. 1 RODO.

Art. 17 RODO

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania

c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d) dane osobowe były przetwarzane niezgodnie z prawem;

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Administrator, o którym mowa w ust. 1 to oczywiście Administrator Danych Osobowych (ADO). Kryje się pod nim każda osoba fizyczna, prawna, organ publiczny lub inny podmiot, który samodzielnie ustala cele i sposoby przetwarzania danych osobowych. Nic nie stoi zatem na przeszkodzie, aby za ADO uznać podmiot funkcjonujący w środowisku sportowym, w przypadku gdy przetwarza w jakikolwiek sposób dane osobowe np. swoich członków, zawodników, pracowników lub kontrahentów. Tym samym, na takich podmiotach również ciąży obowiązek wypełniania dyspozycji zawartych w art. 17 RODO.

Jak można wyczytać z przytoczonego przepisu usunięcia danych można żądać jeżeli nie są już one niezbędne ADO, do celów w których zostały zebrane. W tym przypadku potrzebna jest każdorazowa interpretacja dotycząca zasady celowości. Może się bowiem okazać, że dane są dalej niezbędne ADO, pomimo iż w ocenie osoby fizycznej jest inaczej. Przykładowo dane mogą stać się zbędne z powodu wykonania umowy, niemniej mogą być w dalszym ciągu przydatne „na wypadek ewentualnych roszczeń” do czasu upływu przedawnienia.

Odnośnie drugiej przesłanki sytuacja wygląda podobnie. Trzeba usunąć dane jeżeli osoba wycofała zgodę na ich przetwarzanie, a nie ma innej podstawy prawnej dla dalszego przetwarzania. Podstawa wymieniona w lit. c) dotyczy prawa do sprzeciwu  określonego w art. 21 RODO. Z uwagi na rozległość tej materii nadmienię jedynie, że Administrator ma obowiązek usunięcia danych osoby, która wniesie skutecznie sprzeciw względem przetwarzania danych. Można tego dokonać, gdy osoba pozostaje w „szczególnej sytuacji” związanej z przetwarzaniem danych, a ADO nie wykaże istnienie ważnych, prawnie uzasadnionych podstaw do dalszego przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby lub podstaw do ustalenia, dochodzenia lub obrony swoich roszczeń.

Punkty d) oraz e) są dość czytelne, dlatego zatrzymam się przy ostatnim podpunkcie. Usunięcia danych osobowych można żądać jeśli zostały zebrane w związku z usługą świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną, na żądanie odbiorcy usługi oraz owym odbiorcą było bezpośrednio dziecko. Co ważne, aby skorzystać z omawianego uprawnienia, wszystkie wyszczególnione elementy muszą wystąpić łącznie.

Powyżej znalazły się podstawy, w których osoba fizyczna ma prawo domagać się usunięcia jej danych. Należy zatem każdorazowo po otrzymaniu takiego żądania zweryfikować, czy przytoczone dotychczas okoliczności występują w konkretnym wypadku. Jeżeli tak, należy postąpić zgodnie z żądaniem. Nie można jednak zapomnieć o wyjątkach przewidzianych w art. 17 ust. 3 RODO.

  1. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

a) do korzystania z prawa do wolności wypowiedzi i informacji;

b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;

d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

e) do ustalenia, dochodzenia lub obrony roszczeń.

W momencie usiłowania odmowy usunięcia danych na podstawie wyjątku z lit a), ADO powinien nie tylko rozważyć przeciwstawne interesy (swoje i osoby fizycznej), lecz także szczegółowo uzasadnić swoje stanowisko.[2] Dodatkowo, jak można zaobserwować, ustawodawca unijny w konfrontacji uprawnień osoby fizycznej do bycia zapomnianym z obowiązkami nałożonymi przez prawo wspólnotowe lub krajowe, przyznał wyższość tym drugim. Tym samym, w momencie gdy ADO podlega pod obowiązek prawny obligujący do przetwarzania określonych  danych osobowych, nie musi realizować żądania osoby fizycznej obejmującego usunięcie takich danych (art. 17 ust. 3 lit. b) RODO).

Wyjątek określony w art. 17 ust. 3 lit c) RODO należy traktować jako wyjątek „branżowy”, znajdujący zastosowanie do sektora medycznego oraz farmaceutycznego.[3] Z kolei wymieniony pod lit. d) oznacza, że ADO może się powołać na ten wyjątek, jeśli przetwarzanie jest zgodne z warunkami art. 89 RODO, a jednocześnie wykonywanie prawa do bycia zapomnianym uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania. Wspomniane wyżej warunki polegają głównie na wdrożeniu środków technicznych i organizacyjnych zapewniających poszanowanie zasady minimalizacji danych.

Ostatni wyjątek aktualizuje się przeważnie gdy pomiędzy ADO, a osobą fizyczną występują zależności, które mogą  być źródłem roszczeń przysługujących ADO. W takiej sytuacji dane mogą być przetwarzane do końca okresu umożliwiającego egzekwowanie przez ADO swoich praw.

Podsumowując, warto raz jeszcze uwypuklić, że osobom fizycznym przysługuje na podstawie RODO prawo do żądania usunięcia przez administratora, dotyczących ich danych osobowych. Uprawnienie to musi być respektowane w momencie, gdy zachodzą przewidziane w art. 17 ust. 1 okoliczności. Jednakże zarówno osoby fizyczne, jak i administratorzy powinni być świadomi wyjątków wymienionych w art. 17 ust. 3, które mogą wyłączyć konieczność zadośćuczynienia przedmiotowemu żądaniu.

 

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] RODO. Przewodnik ze wzorami (red. M Gawroński), s. 208, Warszawa 2018

[3] tamże

Specjalista z zakresu cyberbezpieczeństwa, RODO i prawa sportowego.

Konrad Makar

Aplikant Radcowski

Kontakt z nami

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Zgodnie z art. 13 ust. 1 i ust. 2 Ogólnego rozporządzenia Parlamentu i Rady Unii Europejskiej o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informujemy, iż:

  • Administratorem Danych Osobowych jest Tomasz Dauerman prowadzący działalność gospodarczą pod nazwą Kancelaria Radcy Prawnego Tomasz Dauerman, z siedzibą przy al. Śląskiej 1, 54-118 Wrocław, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej, pod numerem NIP: 8861359830, REGON: 891091900, e-mail: info@dauerman.com.pl, tel.: +48 501 157 280;
  • podanie przez Ciebie danych osobowych w korespondencji e-mail, rozmowie telefonicznej lub formularzu kontaktowym jest dobrowolne, lecz niezbędne do celów udzielenia odpowiedzi na przedstawione zagadnienie;
  • przetwarzanie Twoich danych osobowych w celu udzielenia odpowiedzi na przedstawione zagadnienie odbywa się na podstawie art. 6 ust. 1 lit. f) Ogólnego Rozporządzenia Parlamentu i Rady Unii Europejskiej o ochronie danych osobowych z dnia 27 kwietnia 2016 r. i zgodnie zasadami określonymi w niniejszym Rozporządzeniu;
  • posiadasz prawo dostępu do treści swoich danych, uzyskania ich kopii, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych;
  • Twoje dane osobowe będą przechowywane do momentu udzielenia odpowiedzi bądź załatwienia sprawy, w której zostały zebrane;
  • nie będziemy udostępniać innym podmiotom Twoich danych osobowych, uzyskanych w związku z wyżej wymienionymi celami;
  • masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uznasz, iż przetwarzanie danych osobowych dotyczących Ciebie narusza przepisy Ogólnego rozporządzenia Parlamentu i Rady Unii Europejskiej o ochronie danych osobowych z dnia 27 kwietnia 2016 r.
  • Polityka prywatności

    1. Zakres obowiązywania
      1. Administratorem Danych Osobowych jest Kancelaria Radcy Prawnego Tomasz Dauerman, 54-118 Wrocław, Al. Śląska 1, NIP: 886-135-98-30, e-mail: info@dauerman.com.pl, tel. +48 71 784-77-83 (lub -84) (dalej: Administrator, ADO).
      2. Celem niniejszej Polityki Prywatności jest określenie działań podejmowanych przez Administratora w zakresie ochrony danych osobowych przetwarzanych, w tym zbieranych za pośrednictwem strony internetowej http://www.dauerman.com.pl
      3. Dane osobowe to wszelkie informacje, które mogą Cię identyfikować, na przykład Twoje imię i nazwisko, numer telefonu i adres poczty elektronicznej przekazywane przez Ciebie za pomocą formularzy kontaktowych i formularzy zgłoszeń. Kiedy w poniższym dokumencie odwołujemy się do terminu „przetwarzać” albo „przetwarzanie”, mamy na myśli wszelkie czynności i operacje wykonywane na Twoich danych osobowych (np. ich przechowywanie czy analizowanie na potrzeby świadczenia Ci usługi).
    2. Informacje dotyczące ADO
      Kontakt z ADO może się odbywać pocztą tradycyjną na adres siedziby, mailowo lub telefonicznie. Dane kontaktowe wskazane zostały w pkt. 1.1 niniejszej Polityki Prywatności.
    3. Cel, podstawa prawna i zasady przetwarzania danych osobowych
      1. Dane osobowe osób fizycznych korzystających z formularzy kontaktowych i formularzy zgłoszeń (dalej zwanymi: Użytkownikami) przetwarzane są w celu:
        1. zawarcia i wykonywania umów w ramach usług prowadzonych przez ADO (art. 6 ust. 1 lit. b) RODO);
        2. prowadzenia działań marketingu bezpośredniego w formie e-mailowego newslettera, na podstawie udzielonej zgody (art. 6 ust. 1 lit. a) RODO);
        3. udzielenia odpowiedzi na przedstawione zagadnienie, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO);
        4. ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO).
      2. Dane osobowe przetwarzane są przez następujący okres:
        1. w celu zawarcia i wykonywania umowy – przez okres prowadzenia negocjacji oraz trwania umowy, a po jej ustaniu do upływu okresów przedawnienia wszelkich roszczeń z niej wynikających,
        2. w celu prowadzenie działań marketingu bezpośredniego w formie e-mailowego newslettera – do czasu cofnięcia zgody przez Użytkownika,
        3. w celu udzielenia odpowiedzi na przedstawione zagadnienie - do czasu załatwienia sprawy, w której zostały zebrane.
      3. Podanie danych osobowych w celu, o którym mowa w pkt. 3.1 lit. a) jest dobrowolne jednakże jest warunkiem zawarcia umowy. W przypadku niepodania danych możemy odmówić złożenia Tobie oferty i zawarcia umowy.
        Podanie danych osobowych w celu, o którym mowa w pkt. 3.1. lit. b), c) jest dobrowolne. Jeżeli nie podasz danych lub nie wyrazisz zgody nie będziemy mogli w przyszłości informować Cię bezpośrednio o naszej bieżącej ofercie lub udzielić odpowiedzi na przedstawione zagadnienia.
      4. Dane osobowe Użytkowników nie są przekazywane poza teren Polski, Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
      5. Dane osobowe użytkowników nie są powierzane przez ADO do przetwarzania żadnym podmiotom. Dane osobowe mogą być także udostępnione: odpowiednim organom państwowym na ich żądanie na podstawie odpowiednich przepisów prawa.
    4. Prawa osoby, której dane dotyczą
      1. Każdy Użytkownik ma prawo dostępu do treści swoich danych i otrzymania ich kopii, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu oraz prawo do przenoszenia danych.
      2. Jeżeli przetwarzanie odbywa się na podstawie zgody, Użytkownik ma prawo cofnąć zgodę na przetwarzanie danych osobowych. Cofnięcie zgody nie będzie wpływać na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.
      3. Użytkownik ma prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, iż przetwarzanie danych osobowych narusza przepisy RODO lub inne przepisy prawa o ochronie danych osobowych.
      4. W przedmiocie realizacji swoich praw oraz cofnięcia zgody można skontaktować się z ADO przy użyciu danych wskazanych w pkt 1.1 niniejszej Polityki Prywatności.
    5. Cookies
      1. Ciasteczka (ang. cookies) to niewielkie pliki, zapisywane i przechowywane na twoim komputerze, tablecie lub smartphonie podczas gdy odwiedzasz różne strony w internecie. Ciasteczko zazwyczaj zawiera nazwę strony internetowej, z której pochodzi, „długość życia” ciasteczka (to znaczy czas jego istnienia), oraz przypadkowo wygenerowany unikalny numer służący do identyfikacji przeglądarki, z jakiej następuje połączenie ze stroną internetową.
      2. W związku z udostępnianiem zawartości strony internetowej dauerman.com.pl stosuje się  tzw. cookies, tj. informacje zapisywane przez serwery na urządzeniu końcowym użytkownika, które serwery mogą odczytać przy każdorazowym połączeniu się z tego urządzenia końcowego, może także używać innych technologii o funkcjach podobnych lub tożsamych z cookies. Opisane w niniejszym punkcie Polityki Prywatności, informacje dotyczące cookies mają zastosowanie również do innych podobnych technologii stosowanych w ramach naszych stron internetowych. Pliki cookies (tzw."ciasteczka") stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym użytkownika strony internetowej dauerman.com.pl. Cookies zazwyczaj zawierają nazwę domeny strony internetowej, z którego pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
      3. Pliki cookies wykorzystywane są w celu:
        1. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób użytkownicy strony korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości,
        2. utrzymania sesji użytkownika strony internetowej (po zalogowaniu), dzięki której użytkownik nie musi na każdej podstronie strony internetowej ponownie wpisywać loginu i hasła,
      4. W ramach strony internetowej dauerman.com.pl możemy stosować następujące rodzaje plików cookies:
        1. "niezbędne" pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach strony internetowej, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach strony,
        2. pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach strony,
        3. pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych.
      5. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy strony dauerman.com.pl mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu użytkownika strony internetowej. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Niedokonanie zmiany ustawień w zakresie cookies oznacza, że będą one zamieszczone w urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji.
      6. Wyłączenie stosowania cookies może spowodować utrudnienia korzystanie z niektórych usług w ramach naszych strony internetowej, w szczególności wymagających logowania. Wyłączenie opcji przyjmowania cookies nie powoduje natomiast braku możliwości czytania lub oglądania treści zamieszczanych na stronie internetowej dauerman.com.pl z zastrzeżeniem tych, do których dostęp wymaga logowania. Poniżej informacja jak wyłączyć pliki cookie w przeglądarce:

        Jak wyłączyć pliki cookie w przeglądarce ?

        1. Przeglądarka Opera
        2. Przeglądarka Firefox
        3. Przeglądarka Chrome
        4. Przeglądarka Internet Explorer
        5. Przeglądarka Safari
    6. Postanowienia końcowe
      1. ADO dokłada wszelkich starań, aby zapewnić wszelkie środki fizyczne, techniczne i organizacyjne ochrony danych osobowych przed ich przypadkowym czy umyślnym zniszczeniem, przypadkową utratą, zmianą, nieuprawnionym ujawnieniem, wykorzystaniem czy dostępem, zgodnie ze wszystkimi obowiązującymi przepisami.
      2. ADO zastrzega sobie prawo do zmiany treści niniejszej Polityki Prywatności.