Prawo do bycia zapomnianym, czyli prawo do usunięcia danych, jest jednym z najczęściej powoływanych praw przez osoby fizyczne. Jednocześnie jest jednym z najczęściej źle rozumianych — zarówno przez osoby składające żądania, jak i przez administratorów, którzy je otrzymują.
Art. 17 RODO brzmi jednoznacznie: każda osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych. Administrator ma obowiązek bez zbędnej zwłoki te dane usunąć — ale tylko wtedy, gdy zachodzi jedna z określonych okoliczności.
Kiedy administrator musi usunąć dane
Obowiązek usunięcia danych powstaje, gdy spełniony jest co najmniej jeden z poniższych warunków:
- Dane nie są już niezbędne do celów, w których zostały zebrane. Typowy przykład: klient zakończył współpracę, umowa wygasła, dane z formularza kontaktowego zostały obsłużone.
- Osoba cofnęła zgodę, na której opierało się przetwarzanie. Warunek: nie istnieje inna podstawa prawna dla tego przetwarzania. Jeśli dane były przetwarzane na podstawie zgody i jednocześnie na podstawie umowy — cofnięcie zgody nie powoduje obowiązku usunięcia.
- Osoba wnosi sprzeciw wobec przetwarzania na podstawie art. 21, a administrator nie ma nadrzędnych prawnie uzasadnionych podstaw do dalszego przetwarzania.
- Dane były przetwarzane niezgodnie z prawem.
- Dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego.
- Dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku (art. 8 ust. 1 RODO).
Prawo do bycia zapomnianym – kiedy administrator może odmówić
Art. 17 ust. 3 RODO zawiera zamknięty katalog wyjątków. Administrator nie musi usuwać danych, jeżeli przetwarzanie jest niezbędne:
- Do korzystania z prawa do wolności wypowiedzi i informacji — dotyczy m.in. dziennikarzy i mediów.
- Do wywiązania się z obowiązku prawnego — np. obowiązek przechowywania faktur przez 5 lat wynikający z przepisów podatkowych.
- Ze względów interesu publicznego w dziedzinie zdrowia publicznego.
- Do celów archiwalnych, badawczych lub statystycznych — pod warunkiem że usunięcie uniemożliwiłoby lub poważnie utrudniłoby realizację tych celów.
- Do ustalenia, dochodzenia lub obrony roszczeń — jeśli toczą się lub mogą się toczyć postępowania prawne związane z danymi.
Obowiązek poinformowania innych administratorów
Art. 17 ust. 2 RODO wprowadza dodatkowy obowiązek: jeśli administrator upublicznił dane osobowe, to realizując żądanie usunięcia musi podjąć racjonalne działania — z uwzględnieniem dostępnych technologii i kosztów — aby poinformować innych administratorów przetwarzających te dane o żądaniu usunięcia wszelkich łączy, kopii i replikacji tych danych.
W praktyce dotyczy to przede wszystkim danych opublikowanych w internecie — na stronach www, w mediach społecznościowych, w wynikach wyszukiwania.
Jak realizować żądanie w praktyce
Żądanie usunięcia danych powinno być obsłużone w terminie 30 dni od otrzymania (art. 12 ust. 3 RODO). Administrator powinien:
- Zweryfikować tożsamość osoby składającej żądanie — w sposób proporcjonalny do ryzyka.
- Sprawdzić czy zachodzi jedna z przesłanek z art. 17 ust. 1.
- Sprawdzić czy nie zachodzi wyjątek z art. 17 ust. 3.
- Usunąć dane ze wszystkich systemów, kopii zapasowych (w miarę możliwości technicznych) i zbiorów papierowych.
- Poinformować podmioty przetwarzające (procesorów), którym dane zostały udostępnione.
- Udokumentować realizację żądania — data otrzymania, data realizacji, zakres usunięcia, ewentualna odmowa z uzasadnieniem.
- Poinformować osobę o podjętych działaniach lub o odmowie z uzasadnieniem.
Poznaj pełny katalog praw podmiotów danych oraz przeczytaj jak zrealizować żądanie usunięcia danych w systemie iGPDR.
Najczęstsze błędy
Automatyczne odmawianie żądań ze względu na „obowiązki prawne” — bez weryfikacji czy obowiązek rzeczywiście dotyczy konkretnych danych.
Usuwanie danych z jednego systemu, ale pozostawianie ich w kopiach zapasowych, systemach archiwizacji lub u procesorów.
Brak dokumentowania odmowy — administrator odmawia, ale nie informuje osoby o przyczynie ani o prawie wniesienia skargi do organu nadzorczego.
Traktowanie żądania usunięcia jako żądania zamknięcia konta — to dwa różne działania.
FAQ
Nie. Art. 17 ust. 3 RODO wymienia sytuacje, w których administrator może odmówić — m.in. gdy dane są potrzebne do realizacji obowiązku prawnego, dochodzenia roszczeń lub celów archiwalnych.
W ciągu 30 dni od otrzymania żądania. Termin może być przedłużony o kolejne 60 dni w szczególnie skomplikowanych przypadkach — ale administrator musi o tym poinformować osobę w ciągu pierwszego miesiąca.
W miarę możliwości technicznych — tak. Jeśli kopie zapasowe są niezmienne (np. taśmy), dane powinny zostać usunięte przy najbliższym cyklu nadpisywania. Administrator powinien udokumentować, że podjął racjonalne działania.
Tak — przepisy podatkowe wymagają przechowywania faktur przez 5 lat. To jest obowiązek prawny z art. 17 ust. 3 lit. b RODO. Ale musisz poinformować osobę o podstawie odmowy.
Usunięcie to fizyczne usunięcie danych. Ograniczenie przetwarzania (art. 18) to „zamrożenie” — dane nadal istnieją, ale nie mogą być przetwarzane (z wyjątkiem przechowywania) bez zgody osoby.
Obsługuj wnioski RODO bez chaosu — w jednym systemie
iGDPR posiada dedykowany moduł obsługi żądań podmiotów danych — rejestruj wnioski, śledź terminy, archiwizuj historię działań i generuj dokumentację gotową na kontrolę UODO. Sprawdź, jak działa w praktyce.
Testuj teraz — 21 dni bezpłatnie
