Prawo do usuwania danych – jak i kiedy można z niego skorzystać?
RODO rozbudziło Wasze apetyty na korzystanie ze swoich praw do prywatności! Dostaję bardzo dużo wiadomości z pytaniami, jak skorzystać z prawa do usuwania danych, a także sposobu w jaki realizują lub nie to prawo, różne podmioty. Ponieważ macie sporo wątpliwości w tym zakresie, szczególnie wtedy, gdy administrator danych odmawia prawa do usunięcia danych (lub gdy działacie w imieniu administratora i dokonujecie analizy, czy prawo do usunięcia przysługuje), postanowiłam opisać prawo do usuwania danych w formie pytań i odpowiedzi.
Czy każdemu przysługuje prawo do usuwania danych?
Tak, każda osoba fizyczna ma prawo do wnioskowania o usuwanie jej danych. Uwaga nie jest to prawo przysługujące firmom i przedsiębiorcom (na mocy RODO). Zawsze masz prawo wnioskować, jednak nie zawsze to prawo będzie Ci przysługiwać.
Kiedy administrator danych ma obowiązek usunąć dane na mój wniosek?
Zgodnie z artykułem 17 RODO, administrator danych ma obowiązek bez zbędnej zwłoki usunąć Twoje dane, gdy oto prosisz, jeżeli:
Twoje dane (lub ich część) nie są niezbędne administratorowi do realizacji celu, w jakim zostały przez niego zebrane lub w inny sposób przetwarzane
Cofniesz zgodę na przetwarzanie Twoich danych (jeżeli wyraziłeś zgodę, to zawsze masz prawo ją cofnąć), administrator musi usunąć dane, które były przetwarzane na tej podstawie (szczególnie, gdy chodzi o cel marketingowy)
Wniesiesz uzasadniony Twoją szczególną sytuacją sprzeciw na przetwarzanie Twoich danych przez administratora do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej lub niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (odnośnie sprzeciwu patrz art. 21 RODO)
Twoje dane były przetwarzane niezgodnie z prawem (np. nie ma podstawy prawnej do przetwarzania lub są wykorzystywane w innym celu)
Obowiązek usunięcia danych wynika z obowiązujących przepisów prawa
Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego dziecku
Jeżeli jeden z powyższych warunków jest spełniony, administrator ma obowiązek usunąć dane.
Czy jeżeli żądam usunięcia moich danych, to administrator realizując wniosek powinien powiadomić o żądaniu inne podmioty, którym udostępnił moje dane?
Jeżeli administrator upublicznił Twoje dane (w szczególności udostępnił innym administratorom), a ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Tu warto podkreślić, że jeżeli powiadomienie tych podmiotów, jest ustawowym obowiązkiem administratora. Jeżeli cofasz zgodę na marketing, a Twoja zgoda obejmowała udostępnienie danych podmiotom współpracującym, to administrator musi powiadomić te podmioty o konieczności usunięcia Twoich danych z ich bazy (ponieważ zgoda została wycofana, nie mają już podstawy do dalszego, legalnego przetwarzania danych).
Jest to metoda na walkę z niechcianym marketingiem. Pisała o tym Marta tutaj.
Kiedy administrator danych odmówi mi prawa do usunięcia danych?
Pamiętaj, że nie zawsze administrator danych spełni Twoje żądanie. Okres przetwarzania wielu kategorii danych określają często przepisy prawa (dane pracowników, dane przetwarzane do celów podatkowych, itd.). Administrator odmówi usunięcia Twoich danych osobowych, jeżeli są one niezbędne do:
do korzystania z prawa do wolności wypowiedzi i informacji
do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy przepisów prawa lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego (zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3 RODO)
do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych o ile prawdopodobne jest, że skorzystanie z prawa do usunięcia danych, uniemożliwi lub poważnie utrudni realizację celów przetwarzania
do ustalenia, dochodzenia lub obrony roszczeń
Zwróć uwagę na ostatni punkt. Dochodzenie roszczeń jest ograniczone w czasie. W zależności od rodzaju roszczeń, są różne terminy ich przedawnienia, ale maksymalny czas to aż 10 lat!
Przestałem korzystać z usługi / rozwiązałem umowę, czy administrator ma obowiązek usunąć moje dane?
To zależy od rodzaju usługi. Jeżeli była to usługa marketingowa (newsletter), jak najbardziej ma obowiązek usunąć dane. Jeżeli na przykład zrezygnowałeś z konta bankowego, to nawet po rozwiązaniu umowy, administrator (bank) będzie miał obowiązek dalej przetwarzać Twoje dane w zakresie niezbędnym i określonym w przepisach sektorowych prawa bankowego oraz przepisach podatkowych. W takiej sytuacji będziesz mógł najwyżej skorzystać z prawa do ograniczenia przetwarzania danych (tzn. usunięcia tych danych, które nie są niezbędne).
Czy administrator może zrealizować mój wniosek usuwając częściowo dane?
Tak, jeżeli nie będzie Ci przysługiwało prawo do usunięcia danych, administrator powinien zrealizować Twój wniosek w takim zakresie, w jakim jest to możliwe.
Czy administrator ma prawo zachować mój wniosek o usunięcie danych (czyli dane w nim zawarte)?
Tak, ponieważ wniosek stanowi podstawę do usunięcia Twoich danych. Pisałam o tym tutaj.
Ile czasu ma administrator na realizację mojego wniosku?
Administrator powinien zrobić to niezwłocznie po otrzymaniu i rozpatrzeniu wniosku. Czas na realizację Twojego żądania to miesiąc. Maksymalnie w terminie miesiąca od złożenia Twojego wniosku, powinieneś otrzymać informację o usunięciu lub odmowie usunięcia. W szczególnym przypadku, jeżeli żądanie ma skomplikowany charakter lub administrator otrzymał dużą liczbę wniosków, może poinformować o przedłużeniu terminu realizacji do maksymalnie jeszcze dwóch miesięcy.
Czy muszę złożyć wniosek na piśmie?
To Ty decydujesz o formie złożenia wniosku, możesz zrobić to elektronicznie.
Czy administrator w celu rozpatrzenia wniosku ma prawo zażądać ode mnie danych do weryfikacji tożsamości?
Tak, nawet musi to zrobić, aby upewnić się, że realizuje wniosek osoby, której faktycznie to dotyczy.
Co zrobić, jeżeli administrator odmówił usunięcia moich danych?
Jeżeli nie zgadzasz się z decyzją administratora, który odmówił usunięcia danych, możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych, który może potwierdzić decyzję administratora lub nakazać mu usunąć dane. Tutaj jest informacja o składaniu skargi.
Co zrobić, jeżeli administrator w ogóle nie odpowiedział na mój wniosek o usunięcie danych?
Złóż skargę do Prezesa Urzędu Ochrony Danych. Administrator ma obowiązek udzielić Ci odpowiedzi, jeżeli tego nie zrobił po upływie miesiąca, powinieneś złożyć skargę. Możesz to także zrobić elektronicznie. Informacje tutaj.
Do kogo w firmie kierować żądanie usunięcia danych?
Jeżeli firma wyznaczyła Inspektora Ochrony Danych, jego dane i adres e-mail są dostępne na jej stronie internetowej. To on odpowiada za nadzorowanie spraw związanych z ochroną danych osobowych, a także ma być punktem kontaktowym dla Ciebie. Zwracaj się do niego ze wszystkimi pytaniami dotyczącymi przetwarzania Twoich danych.
Jeżeli administrator nie wyznaczył Inspektora, a na stronie nie wskazał adresu, pod który kierować żądanie, możesz napisać na adres ogólny lub bezpośrednio do kierownictwa spółki. Nie powinno mieć znaczenia, do kogo się zgłosisz, każdy pracownik administratora, powinien być w stanie pokierować Cię w tej sprawie lub przekazać Twoje żądanie do odpowiedniej osoby.
Czym różni się prawo do bycia zapomnianym od prawa do usuwania danych?
Prawo do bycia zapomnianym to właśnie prawo do usunięcia danych. Jest to fundamentalne prawo RODO i jeden z punktów wyjścia do powstania nowych przepisów o ochronie danych w UE.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia?Napisz do mnie
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
