Prawo do bycia zapomnianym a przepisy rodo

Data: 25-04-2016 r.

Prawo do bycia zapomnianym to dość młoda konstrukcja. Dowiedzieliśmy się o nim wraz z wyrokiem Trybunału Sprawiedliwości UE w sprawie hiszpańskiego obywatela Mario Costeja Gonzáleza. Jednak rozwój technologiczny wymusił także na prawodawcach, uregulowanie tej kwestii w przepisach.

Koncepcja „prawa do bycia zapomnianym” rozwijała się wraz z postępem technologicznym. Koncepcja ta nabrała znaczenia po wyroku z 13 maja 2014 r. Trybunału Sprawiedliwości Unii Europejskiej. Trybunał orzekł, że operator wyszukiwarki internetowej jest odpowiedzialny za dane, które pojawiają się na stronach internetowych publikowanych przez osoby trzecie. Skład orzekający stwierdził też, że operator wyszukiwarki może być zobowiązany, po spełnieniu określonych warunków, do usunięcia z wyników wyszukiwania linków na temat danej osoby.

Prawo do bycia zapomnianym uregulowano w art. 17 rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej nazywane ogólnym rozporządzeniem o ochronie danych).

Artykuł 17a określa „prawo do usunięcia/usuwania danych” wynikające z art. 12 lit. b dyrektywy 95/46/WE. Powołane przepisy mają na celu przede wszystkim podniesienie jakości ochrony danych osobowych.

W rozporządzeniu wskazano, że „podmiot danych ma prawo spowodować, by administrator bez zbędnej zwłoki usunął dane osobowe go dotyczące, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe (…)”, jednak może to nastąpić pod pewnymi warunkami, tj.:

  • dane nie są już niezbędne do celów, dla których zostały zebrane lub w inny sposób przetworzone,
  • podmiot danych cofnął zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej do przetwarzania danych,

  • podmiot danych wnosi sprzeciw wobec przetwarzania danych osobowych w trybie dookreślonym w art. 19,

  • zostały one przetworzone niezgodnie z prawem,

  • dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w przepisach unijnych lub prawie państwa członkowskiego, któremu podlega administrator,

  • dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, w sytuacji wskazanej w art. 8 ust. 1 projektu ogólnego rozporządzenia.

Skorzystanie przez podmiot danych z prawa do bycia zapomnianym wiąże się z powstaniem po stronie administratora danych określonych obowiązków. Administrator danych osobowych musi przede wszystkim rozpatrzyć wniosek i w sytuacji, gdy jest to uzasadnione usunąć żądane dane.

Następnie biorąc pod uwagę dostępną technologię oraz środki techniczne, powinien poinformować innych administratorów danych osobowych przetwarzających wskazane dane osobowe o złożeniu przez podmiot danych wniosku o ich usunięcie.

Zapis ten może budzić wiele wątpliwości co do jego realnego i praktycznego zastosowania. Brak jest bowiem wskazania jednoznacznej odpowiedzialności administratora danych osobowych. Ponadto rozporządzenie nie formułuje wprost, w jaki sposób administrator danych powinien poinformować inne podmioty, będące administratorami danych osobowych.

Rozporządzenie w art. 17 stanowi, że omówione powyżej i wskazane w ust. 1 i 2 tego artykułu przepisy nie mają zastosowania jeżeli przetwarzanie danych osobowych jest niezbędne:

  • do skorzystania przez podmioty danych osobowych z prawa wolności wypowiedzi i informacji,

  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania danych osobowych na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi danych osobowych,

  • ze względu na przesłanki interesu publicznego w dziedzinie zdrowia publicznego,

  • do celów archiwizacyjnych w interesie publicznym, do celów badań naukowych i historycznych lub do celów statystycznych zgodnie z art. 83 ust. 1, o ile prawdopodobnym jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów archiwizacyjnych w interesie publicznym, celów badań naukowych i historycznych lub celów statystycznych,

  • do ustalenia, realizacji lub obrony roszczeń prawnych podmiotów danych.

Skuteczność realizacji ogólnego rozporządzenia o ochronie danych w obszarze prawa do bycia zapomnianym będzie uzależniona w znacznym stopniu od zaangażowania organów krajowych. Będą zobowiązani opracować skuteczne procedury w tym zakresie.

Przetwarzanie danych w Internecie oraz spełnienie przepisów prawa związanych z ochroną prywatności nie byłoby skuteczne bez możliwości sprawowania pełnej kontroli nad danymi przez osoby, których te dane dotyczą.

Pomimo że przepisy budzą wiele wątpliwości, uregulowanie prawa do bycia zapomnianym jest ważnym krokiem w zapewnieniu prawa do zachowania prywatności i ochrony danych osobowych.

dr Jowita Sobczak, ekspert ds. ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 38912 )
Array ( [docId] => 38912 )

Array ( [docId] => 38912 )