Pierwszym z tematów, który poruszę – analizując konkretne przepisy Rozporządzenia Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), będzie zagadnienie prawa osoby, której dane dotyczą do usunięcia danych, jej dotyczących zwane potocznie prawem do „bycia zapomnianym”.
Wpis gościnny autorstwa Marcina Kalety z IT Law Solutions, partnera SALESmanago.
O ile można sobie wyobrazić, że w zakresie danych osobowych przetwarzanych metodą tradycyjną proces ich niszczenia umożliwia skuteczne „zapomnienie” informacji np. zawartych w konkretnych dokumentach. To o tyle ta sama zależność może nie nastąpić w przypadku danych przetwarzanych z użyciem serwisów www czy też danych upublicznionych w Internecie, w innej formie. Reguła wskazująca, że w „Internecie nic nie ginie” doskonale odzwierciedla to zjawisko.
Wobec tego ustawodawca europejski musiał zmierzyć się z problemem przetwarzania danych pomimo wyraźnego sprzeciwu bądź żądania usunięcia danych skierowanego przez osobę, której takie dane dotyczą. Szczególne, że problem ten był przedmiotem rozważań Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-131/12 Google Spain SL oraz Google Inc. przeciwko Agencia Española de Protección de Datos (hiszpański odpowiednik GIODO) i Mario Costeja González.
Wyrok Trybunału Sprawiedliwości UE
Wyrokiem z dnia 13 maja 2014 r. w sprawie C-131/12 TSUE orzekł, że osoba, której dane dotyczą, posiada uprawnienie do tego, aby informacje o niej nie były już wiązane przez listę wyników wyszukiwania z jej imieniem i nazwiskiem wobec czego taka osoba może domagać się usunięcia linków z listy wyników wyszukiwania. Orzeczenie to miało kluczowy wpływ na wprowadzenie przez operatorów wyszukiwarek internetowych mechanizmów umożliwiających skuteczne usuwanie treści.
Usuwanie danych w Rozporządzeniu
W rozporządzeniu problematyka „prawa do bycia zapomnianym” została uregulowana wprost w art. 17, który stanowi, że każda osoba, której dane dotyczą, ma prawo żądania od administratora (który zgromadził dane) niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek usunąć dane osobowe m.in. jeżeli:
- dane nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane,
- osoba, której dane dotyczą cofnęła zgodę na przetwarzanie lub wniosła sprzeciw wobec przetwarzania,
- przetwarzanie danych osobowych nie jest z innego powodu zgodne z przepisami rozporządzenia.
Ponadto na mocy rozporządzenia administrator, który upublicznił takie dane osobowe, został zobowiązany do poinformowania innych administratorów, którzy przetwarzają te dane o usunięciu wszelkich łączy do tych danych, kopii tych danych lub ich replikacji.
Wyłączenia
Należy zaznaczyć, że administrator w przypadku żądania – osoby, której dane dotyczą, nie będzie zobowiązany do usunięcia danych oraz do informowania innych administratorów, gdy przetwarzanie danych okaże się niezbędne m.in. do korzystania z prawa wolności wypowiedzi i informacji, wywiązywania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa czy też do ustalenia, dochodzenia lub obrony roszczeń.
Tak sformułowane przepisy są dobrym kompromisem pomiędzy treścią praw podstawowych (do poszanowania życia prywatnego i rodzinnego oraz ochrony danych osobowych) osób, których dane dotyczą, a interesami administratorów danych i gwarantują z jednej strony możliwość usuwania treści informacji o osobie na jej żądania w przypadku, gdy nie są one już niezbędne z drugiej zaś zabezpieczają administratorów, umożliwiając im przetwarzanie danych pomimo konkretnego żądania usunięcia.
Poprzedni post z tej serii: Nowe zasady przetwarzania i ochrony danych osobowych – ogromne kary finansowe
O autorze
Marcin Kaleta: Aplikant radcowski. Specjalizuje się w prawie z zakresu ochrony danych osobowych, prawie nowych technologii oraz prawie europejskim. Posiada bardzo bogate doświadczenie, którym wspomaga przedsiębiorstwa ściśle związane z branżą IT, eCommerce oraz marketingu wielopoziomowego.
Jest Prezesem Zarządu IT Law Solutions.
Follow
