Pierwsza ustawa o ochronie danych osobowych zaczęła obowiązywać w Polsce w 1997 roku, a na terenie ówczesnych państw członkowskich Unii Europejskiej wprowadzono ją dwa lata wcześniej. Nie da się ukryć, że mimo kilkakrotnie dokonywanych nowelizacji, ustawy nie uwzględniają możliwości, jakie pojawiły się na przykład wraz z rozwojem internetu. Kiedy wprowadzano pierwsze ustawy nikt z ustawodawców nie słyszał na przykład o chmurze obliczeniowej. Nowoczesne techniki przetwarzania danych osobowych wymusiły konieczność wprowadzenia szeregu zmian. Od maja 2018 roku obowiązuje nowe unijne rozporządzenie o ochronie danych osobowych nazywane RODO. Wprowadziło ono wiele niezwykle istotnych zmian. Zupełną nowością, która pojawiła się wraz z RODO jest prawo do bycia zapomnianym.
Co oznacza to prawo?
Tak zwane prawo do bycia zapomnianym zostało zapisane w artykule 17 RODO. Zgodnie z tym artykułem wszystkie osoby, których dane osobowe są przetwarzane mogą zażyć sobie, aby administrator danych usunął dotyczące ich dane z wszelkich systemów. Na życzenia danej osoby administrator ma obowiązek niezwłocznie usunąć wszelkie dane, również dokumentację, która ma postać papierową, linki, kopie. Aby jednak dane osobowe zostały przez administratora usunięte, muszą zostać spełnione pewne warunki. Bez tego nie można zostać zapomnianym.
Jakie warunki należy spełnić, aby mieć prawo do bycia zapomnianym?
Zgodnie z artykułem 17 ustęp 1 RODO osoba, która chce mieć prawo do bycia zapomnianym, musi spełnić przynajmniej jeden z następujących warunków:
◦ jej dane osobowe nie są już niezbędne do wykonania celów, dla których zostały zebrane;
◦ osoba, które dane dotyczą cofnęła swoją zgodę na ich przetwarzanie w związku z czym ustała podstawa prawna, na podstawie których dane mogły być przetwarzane;
◦ osoba wniosła sprzeciw na mocy artykułu 21 ustęp 1. Zgodnie z tym artykułem osoba, której dane dotyczą sprzeciw wobec przetwarzania jej dotyczących danych osobowych może wnieść w dowolnym momencie. Prawo do sprzeciwu dotyczy przetwarzania danych osobowych na potrzeby marketingu bezpośredniego;
◦ dane osobowe przetwarzano niezgodnie z obowiązującymi przepisami prawa;
Warto widzieć, że prawo do bycia zapomnianym przysługuje również w sytuacji, gdy dane osobowe zebrano oferując usługi społeczeństwa informacyjnego. Do usług tych zaliczany jest między innymi e-handel oraz media społecznościowe.
Sytuacje, w których nie przysługuje prawo do skorzystania z bycia zapomnianym
Są sytuacje, w których nie można skorzystać z prawa do bycia zapomnianym. Sytuacje te są wymienione w tym samym, 17 artykule RODO. Prawo do bycia zapomnianym nie może być wykorzystane w sytuacji, gdy przetwarzanie danych jest niezbędne do:
◦ możliwości skorzystania z prawa do wolności wypowiedzi i informacji;
◦ dochodzenia, ustalenia bądź obrony roszczeń;
◦ wywiązania się z obowiązku prawnego, które wymaga przetwarzania w świetle przepisów prawa, które obowiązuje na terenie wszystkich państw członkowskich UE lub prawa, które obowiązuje na terenie danego państwa będącego członkiem UE;
◦ badań naukowych, celów statystycznych, archiwalnych, które leżą w interesie publicznym.
Należy pamiętać o tym, że firmy, w których administratorzy nie dopilnują wprowadzenia odpowiednich procedur umożliwiających skorzystanie z prawa do bycia zapomnianym, mogą zostać ukarane bardzo wysokimi karami finansowymi. Wiele osób jest zdania, że prawo do bycia zapomnianym jest bardzo ważną, jeśli nie najważniejszą zmianą, która została wprowadzana wraz z RODO. Oczywiście przeciwników prawa do bycia zapomnianym również nie brakuje. Bardzo ważne jest to, że w przypadku osób, które spełniają warunki do tego, aby ich dane osobowe zostały usunięte, administrator musi ich żądanie spełnić natychmiast. Do tego jego obowiązkiem jest również poinformowanie innych administratorów o tym, że dana osoba skorzystała z przysługującego jej prawa do bycia zapomnianym. Pozostali administratorzy również mają obowiązek usunięcia tych danych. Zniknąć muszą zarówno kopie, jak i odnośniki.
Monika Zygmunt - Jakuć (Dyrektor Zarządzający "bez owijania")