Wniosek o usunięcie danych osobowych – co dalej z nim zrobić?

Rozporządzenie RODO[1] wprowadziło nie tylko małą rewolucję w przepisach prawa i obowiązkach przedsiębiorców w zakresie przetwarzania danych osobowych, ale także spowodowało rozpowszechnienie świadomości osób fizycznych o przysługujących im prawach w zakresie korzystania przez podmioty trzecie z ich danych osobowych. Wobec powyższego coraz częściej klienci składają wnioski o usunięcie ich danych osobowych lub cofają wcześniej wyrażone zgody na przetwarzanie ich danych. Bardzo często jednak osoby te nie zdają sobie sprawy z faktu, iż są sytuacje, w których ich dane nie mogą podlegać całkowitemu usunięciu. Poniżej postaramy się więc przedstawić kroki jakie powinien podjąć administrator danych, by działać zgodnie z prawem i uniknąć konfliktów w powyższym zakresie.

W pierwszej kolejności należy wskazać, iż przypadki kiedy dane mogą podlegać usunięciu wskazuje art. 17 RODO. Zgodnie z jego brzmieniem osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z okoliczności wskazanych w ust. 1 wskazanego artykułu, w tym jeśli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane lub osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania.

Ustawodawca unijny przewidział jednak nawet w powyższych wypadkach wyjątki od obowiązku usunięcia danych. Wśród tych wyjątków (enumeratywnie wyliczonych w art. 17 ust. 3 RODO) wymienia się między innymi sytuacje, kiedy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, a także do ustalenia, dochodzenia lub obrony roszczeń. Są to dwie najczęstsze sytuacje, wyłączające konieczność usunięcia danych osobowych z prowadzonych zbiorów. Należy także podkreślić, iż przechowywanie danych w powyżej wymienionych okolicznościach winno być zgodne z zasadą minimalizmu, tj. winno dotyczyć tylko takich danych, które są niezbędne do realizacji ww. celów. W pozostałym zakresie dane winny ulec usunięciu. Warto nadmienić, iż w doktrynie prawnej wskazuje się, że sam wniosek o usunięcie danych zawiera takie dane – skoro jednak RODO nakłada na administratora obowiązek wykazywania realizacji obowiązków nałożonych na niego przez przepisy prawa (zasada rozliczalności), musi być on w stanie udowodnić, iż wniosek o usunięcie danych został złożony przez osobę fizyczną i że dokonał on usunięcia zbędnie przechowywanych danych zgodnie z jego treścią. Wobec powyższego, wskazuje się, iż taki wniosek może być archiwizowany. W chwili obecnej nie sposób z całą pewnością stwierdzić, iż takie działanie jest poprawne, brak jest bowiem w tym zakresie jakichkolwiek wytycznych bądź decyzji, które potwierdziły by zasadność takiego działania.

Jakie więc czynności powinien podjąć administrator danych po otrzymaniu wniosku o usunięcie danych osobowych? W pierwszej kolejności z pewnością winien on dokonać weryfikacji, czy zachodzą podstawy do dalszego gromadzenia i przetwarzania danych osobowych wnioskodawcy. W zakresie, w jakim dane osobowe nie są mu niezbędne do ww. celów, winien dokonać ich usunięcia.

W dalszej kolejności, administrator jest zobowiązany do poinformowania o usunięciu danych osobowych wnioskodawcy każdego odbiorcy, któremu ujawnił dane, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Dodatkowo administrator na żądanie wnioskodawcy informuje go o ww. odbiorcach. Powyższe umożliwia wnioskodawcy zwrócenie się do innych administratorów danych z podobnym wnioskiem oraz kontrolowanie przetwarzania jego danych przez te podmioty.

W przypadku, gdy administrator upublicznił dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – musi podjąć rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Powyższy obowiązek ma zapewnić przede wszystkim realizację prawa do „bycia zapomnianym” w Internecie.

Rozporządzenie nie przewiduje wprost obowiązku poinformowania wnioskodawcy o usunięciu jego danych. Jednakże, z uwagi chociażby na zasadę przejrzystości, zasadne jest poinformowanie osoby, której dane są lub były przetwarzane o zakresie realizacji jej wniosku i podjętych w tym zakresie  działaniach.

W przypadku chęci uzyskania szerszych informacji w powyższym zakresie lub pomocy przy sporządzaniu odpowiedzi na wnioski klientów o usunięcie danych osobowych – serdecznie zachęcamy do kontaktu z naszą Kancelarią.

Sporządziła:

Krystyna Cent

radca prawny