Prawo do bycia zapomnianym w RODO stanowi ważny element ochrony prywatności i samostanowienia jednostki nad własnymi informacjami. Umożliwia ono osobom fizycznym żądanie usunięcie ich danych osobowych przechowywanych przez różne podmioty, gdy przetwarzanie nie spełnia już określonych warunków prawnych. Mechanizm ten wpisuje się w szersze ramy praw i obowiązków opisanych w rozporządzeniu, które od momentu wejścia w życie w 2018 roku zrewolucjonizowało podejście do dane osobowe w całej Unii Europejskiej.
Podstawy prawne i zakres zastosowania
Artykuł 17 RODO określa uprawnienia osób, które pragną skorzystać z prawo do bycia zapomnianym. Zgodnie z nim każdy ma prawo zażądać od administratora:
- natychmiastowego usunięcia danych osobowych,
- zaprzestania ich udostępniania stronom trzecim,
- zaprzestania dalszego przetwarzanie w określonych warunkach.
Możliwość realizacji tego roszczenia zależy od istnienia co najmniej jednej z następujących przesłanek:
- dane przestały być niezbędne do celów, dla których zostały zebrane,
- odwołanie zgoda na przetwarzanie i brak innej podstawy prawnej,
- sprzeciw wobec zautomatyzowanego profilowanie,
- dane przetwarzane są niezgodnie z prawem,
- usunięcie jest wymagane prawem Unii lub państwa członkowskiego.
Procedura realizacji wniosku o usunięcie danych
W praktyce proces składa się z kilku etapów, które mają na celu weryfikację tożsamości wnioskodawcy oraz ocenę zasadności roszczenia:
- Przyjęcie wniosku – formularz lub inny nośnik,
- Weryfikacja tożsamości podmiotu,
- Analiza przepisów i ewentualnych wyjątki od usunięcia,
- Ocena wpływu na cele archiwalne, publiczne lub inne uzasadnione potrzeby,
- Przekazanie decyzji wraz z informacją o ewentualnym odwołaniu.
Administratorzy muszą odpowiedzieć w ciągu jednego miesiąca od dnia otrzymania kompletnego wniosku. Termin ten może zostać przedłużony maksymalnie o kolejne dwa miesiące, jeżeli charakter sprawy tego wymaga.
Wyjątki od prawa do usunięcia
Usunięcie danych nie jest absolutne. Artykuł 17 ust. 3 RODO wylicza kategorie przypadków, w których usuwanie może zostać ograniczone, w tym gdy:
- interes publiczny wymaga dalszego przechowywania (np. archiwa państwowe, statystyki),
- przetwarzanie służy ochronie praw innej osoby fizycznej lub prawom do wolności słowa,
- dane są niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych,
- zobowiązania podatkowe i rachunkowość.
W takich sytuacjach administrator może odmówić wykonania wniosku lub wykonać je częściowo, pozostawiając dane dla celów zgodnych z unijnym lub krajowym prawem.
Praktyczne wyzwania i orzecznictwo
Wdrażanie prawo do bycia zapomnianym napotyka na liczne trudności, zarówno organizacyjne, jak i prawne. Do najczęstszych wyzwań należą:
- identyfikacja wszystkich nośników, w których znajdują się dane (serwery, archiwa, backupy),
- utrzymanie równowagi między prawem do prywatności a dobrem publicznym,
- interpretacja unijnych standardów przez krajowe sądy,
- konieczność śledzenie zmian w orzecznictwie Trybunału Sprawiedliwości UE oraz GIODO (obecnie PUODO).
Przykłady z praktyki pokazują, że telekomy, portale internetowe i agencje marketingowe często muszą aktualizować swoje rejestry i procedury, by prawidłowo reagować na wnioski jednostek.
Rola organu nadzorczego i sankcje
Prezes Urzędu Ochrony Danych Osobowych (PUODO) sprawuje nadzór nad przestrzeganiem RODO. W przypadku naruszenia przepisów może nałożyć kara administracyjne, które sięgają nawet 20 mln euro lub 4% światowego obrotu firmy. Dla podmiotów przetwarzających dane osobowe oznacza to konieczność wdrożenia skutecznych mechanizmów realizacji prawa do bycia zapomnianym, włączając:
- szkolenia personelu,
- regularne audyty,
- aktualizację polityk prywatności,
- monitorowanie procesów usuwania i anonimizacji danych.
Dzięki temu podmioty mogą nie tylko spełnić wymogi prawne, ale także zbudować zaufanie klientów i kontrahentów, potwierdzając, że traktują ochronę prywatności jako wartość priorytetową.
