Prawo do bycia zapomnianym

Rozwój nowoczesnych technologii oraz digitalizacja życia prywatnego prowadzi do powstania sytuacji, które znajdują swój stały substrat w przestrzeni cyfrowej. Wprowadzenie określonego zapisu do sieci Internet, bez znaczenia w jakim portalu, a często będące żartem lub krótkotrwałą opinią, może odnieść swój skutek po wielu latach w przestrzeni osobistej, zawodowej lub nawet publicznej. Wszak „Internet nie zapomina”.

Przeciwdziałać takim sytuacjom ma art. 17 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.), dalej także „RODO”:

Artykuł  17 Prawo do usunięcia danych (“prawo do bycia zapomnianym”)

  1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
  2. a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  3. b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
  4. c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
  5. d) dane osobowe były przetwarzane niezgodnie z prawem;
  6. e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  7. f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
  8. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
  9. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
  10. a) do korzystania z prawa do wolności wypowiedzi i informacji;
  11. b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  12. c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
  13. d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
  14. e) do ustalenia, dochodzenia lub obrony roszczeń.

Niniejszy przepis wprowadza dwa rodzaje uprawnień. Pierwszym z nich – art. 17 ust. 1 RODO – jest prawo żądania usunięcia danych osobowych. RODO przewiduje katalog zamknięty sytuacji, kiedy podmiot może domagać się usunięcia danych, lecz ze względu na szerokie ujęcie poszczególnych przesłanek, inkryminowaną listę należy uznać za kompletną. Drugie uprawnienie stanowi prawo do bycia zapomnianym (art. 17 ust. 2 RODO). Warto przy tym zastrzec, że prawo do usunięcia danych ma charakter pierwotny, gdyż prawo do bycia zapomnianym przysługuje wyłącznie w przypadku skorzystania przez podmiot z uprawnienia do usunięcia danych oraz pod warunkiem, iż administrator dokonał upublicznienia danych[1].

Prawo do bycia zapomnianym ma charakter szerszy aniżeli dotychczas przyjmowany na gruncie orzecznictwa europejskiego, a którego podstawę stanowił art. 12 lit. b dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. z 1995 r. Nr 281, str. 31 z późn. zm.)[2]. Analizowany art. 17 ust. 2 RODO nakłada na administratora danych, który jest obowiązany do usunięcia danych osobowych, dodatkową powinność poinformowania pozostałych administratorów o zgłoszonym żądaniu podmiotu. Działania podejmowane przez administratora w tym zakresie winny wypełniać znamię „rozsądnych”, tzn. takich, które pozostają w jego możliwościach w ramach dostępnych technologii. Czynności te mają doprowadzić do usunięcia z Internetu wszystkich danych osobowych ujawnionych w Internecie oraz w innych źródłach, które objęte zostały żądaniem usunięcia.

Czyniąc uwagę na marginesie, naruszenie przepisu art. 17 RODO może prowadzić do nałożenia kary pieniężnej w wysokości do 20.000.000,00 EURO, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – art. 83 ust. 5 lit. b.

Adwokat Mateusz Budziarek

[1] M. Czerniawski (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz pod red. E. Bielak-Jomaa i D. Lubasza, Wolters Kluwer, Warszawa 2018.

[2] Por. m.in. wyrok Trybunału Sprawiedliwości z dnia 13 maja 2014 r. C-131/12, ZOTSiS 2014/5/I-317.[/vc_column_text][/vc_column][/vc_row]

Powiązane artykuły