Prawo do usunięcia danych osobowych, to jedno z podstawowych i niepodważalnych praw osób, do których należą dane osobowe. Prawo to musi być bezwzględnie realizowane przez wszystkich administratorów danych osobowych. Jeśli więc aktywnie działasz w sieci i przetwarzasz dane osobowe ten obowiązek dotyczy również Ciebie.
Z artykułu dowiesz się kiedy masz obowiązek usunięcia danych, które przetwarzasz, jak właściwie przeprowadzić ten proces, o czym wówczas pamiętać, a czego z pewnością nie robić. Zwłaszcza to ostatnie zagadnienie może Cię zainteresować, gdyż często nie zdajemy sobie sprawy, że mając dobre intencje łamiemy prawo i narażamy się na prawne i finansowe konsekwencje swojego działania.
Spis treści
Kiedy jesteś zobowiązana do usunięcia danych osobowych ze swojej bazy?
Usunięcie danych osobowych jest konieczne, gdy (art. 17 RODO):
• Ustał cel przetwarzania danych i nie są one już niezbędne.
• Osoba, której dane dotyczą, cofnęła swoją zgodę na przetwarzanie jej danych osobowych, a Ty nie masz innej podstawy prawnej do przetwarzania tych danych.
• Osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania jej danych osobowych.
• Przetwarzasz dane osobowe niezgodnie z prawem.
• Usunięcie danych wynika z obowiązku prawnego, któremu podlegasz, przewidzianego również w innych aktach prawnych niż RODO i ustawa o ochronie danych osobowych.
• Jeżeli oferujesz usługi dzieciom poniżej 16 roku życia i nie posiadasz na to zgody ich opiekunów prawnych.
Usunięcie danych osobowych, mimo żądania właściciela tych danych, nie będzie jednak konieczne, jeśli:
• Przetwarzanie tych danych wynika z korzystania przez Ciebie z prawa do wolności wypowiedzi i informacji.
• Przetwarzanie tych danych jest niezbędne do wywiązania się przez Ciebie z Twoich prawnych obowiązków, jako Administratora danych.
• Przetwarzanie tych danych jest niezbędne do wykonania przez Ciebie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Tobie, jako Administratorowi.
• Przemawiają za tym względy interesu publicznego w dziedzinie zdrowia publicznego.
• Jest to niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
• Potrzebujesz tych danych w celach dowodowych, do obrony lub dochodzenia swoich roszczeń.
Ważne jest jednak, aby pamiętać, że jeśli nie usuwasz danych z jednego z powyższych powodów, to musisz potrafić w łatwy sposób wykazać, że te konkretne dane realizują cel, dla którego je zostawiłaś w swojej bazie. Możesz na przykład w tym celu usunąć część danych osobowych, a część zostawić. Tak, aby dążyć do zasady minimalizacji przetwarzania danych. Zgodnie z nią zostawiasz tylko to, co niezbędne i konieczne.
Dlatego, jeśli Twój odbiorca zażąda usunięcia go z bazy newslettera, to mimo wystąpienia jednej z powyższych przesłanek, aby te dane zostawić w Twojej bazie, to nie możesz wbrew żądaniu nadal wysyłać do tej osoby newslettera. Musisz je usunąć z bazy mailingowej, ale możesz te dane zatrzymać w innym miejscu i tylko po, aby na przykład udowodnić Prezesowi Urzędu Ochrony Danych Osobowych, że prawidłowo zrealizowałaś swoje obowiązki.
Zobacz też: Poproś o zgodę, czyli jak legalnie gromadzić dane osobowe
Jak szybko powinnaś działać?
Jeśli jako administrator danych osobowych otrzymasz żądanie usunięcia czyichś danych osobowych ze swojej bazy, masz wówczas obowiązek usunięcia tych danych tak szybko, jak to tylko możliwe. Zgodnie z RODO powinno to nastąpić bez zbędnej zwłoki, ale nie dłużej niż w terminie miesiąca. Oznacza to, że teoretycznie masz 30 dni na reakcję na żądanie usunięcia danych, ale w praktyce zostawienie żądania na ostatnią chwilę mogłoby zostać uznane za zbędną zwłokę w Twoim działaniu.
Termin bez zbędnej zwłoki oznacza, że ma to nastąpić w możliwie najszybszym, ale realnie przyjętym czasie. W dotychczasowym orzecznictwie przyjmuje się, że pojęcie „niezwłocznie” oznacza czternaście dni. Jednak za każdym razem Administrator danych powinien dokonać samodzielnej oceny, czy taki termin jest realny, czy z jakichś powodów odpowiedź zostanie udzielona później, ale w wyznaczonym terminie.
To nie Ty decydujesz
Są sytuacje, kiedy RODO wymaga od Ciebie decyzyjności w zakresie zostawienia lub usunięcia danych osobowych. Na przykład, kiedy mimo żądania usunięcia danych jesteś zobowiązana je jednak zostawić w swojej bazie. Podobnie, gdy cel przetwarzania przez Ciebie danych osobowych nie jest już aktualny. Wówczas sama musisz zdecydować o usunięciu konkretnych danych osobowych. W pozostałych przypadkach, to nie Ty decydujesz czy dane będą usunięte, czy też nie. Decyduje osoba, do której te dane należą. To ona ma prawo wycofać swoją zgodę bez konieczności uzasadniania swojej decyzji.
RODO przypisuje temu prawu bardzo dużą wagę i wielokrotnie podkreśla jego znaczenie nie tylko w treści artykułów, ale również w Preambule do rozporządzenia.
Preambuła RODO, pkt. 65
Osoba, której dane dotyczą, powinna w szczególności mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane (…).
Zadbaj o odpowiednie procedury
Wszystkie obowiązki, o których mówi RODO powinny być opatrzone właściwymi, dobrze przemyślanymi procedurami działania. Może brzmi to trochę biurokratycznie, ale w rzeczywistości bardzo dużo ułatwia w sytuacjach awaryjnych i kryzysowych. Sprawia, że w momencie, gdy nastąpi jakieś nieprzewidziane zdarzenie, które ma negatywny wpływ na ochronę danych osobowych, które przetwarzasz, ale pojawi się żądanie właściciela danych osobowych, które musisz rozpatrzyć, dużo łatwiej do tego podejść racjonalnie i ze spokojem.
W kontekście żądania bycia zapomnianym, musisz być w stanie dokładnie sprawdzić o jakie dane chodzi, gdzie je przechowujesz, w jaki jeszcze sposób je przetwarzasz, jaki jest cel przetwarzania i czy dostęp do nich mają również inni współadministratorzy lub podmioty przetwarzające. Musisz wiedzieć skąd dokładnie powinnaś je usunąć, mieć pewność, że nigdzie indziej one już nie występują i nie zdarzy się tak, że ktoś przez niedopatrzenie nadal będzie je przetwarzał. Jesteś zobowiązana do usunięcia wszelkich kopii tych danych i prowadzących do nich łączy.
Opracowując właściwe procedury zapewniasz sobie spokój.
Nie podejmuj dyskusji
W swojej dotychczasowej karierze zawodowej wielokrotnie spotkałam się z tym, że klientom nie odpuszcza się tak łatwo. Widać to zwłaszcza w wielkich korporacjach, które w momencie otrzymania informacji, że dany klient chce wycofać swoją zgodę marketingową, starają się go przekonać, żeby jednak został. Rozumiem tu cel sprzedażowy, ale mimo wszystko próba zatrzymania danych osobowych klienta wbrew jego woli i podejmowanie w tym zakresie dyskusji mających na celu zatrzymanie tych danych jest niedopuszczalne. Nie wolno tego robić. Wycofanie swoich danych osobowych przez klienta jest jego prawem, do którego bezwzględnie musimy się zastosować. Co więcej, zrobić to sprawnie i szybko, bez zbędnej zwłoki, a na koniec bez zbędnego komentarza w stylu „Bardzo nam przykro” należy poinformować, że dane zgodnie z żądaniem zostały usunięte z naszej bazy danych osobowych.
Podejmowanie w tym zakresie dyskusji, chociaż byłoby niesamowicie miłe, uprzejme i przejawiało troskę o naszego klienta, działa na naszą niekorzyść. Prawo jasno wskazuje jakie prawa przysługują właścicielom danych osobowych, które przechowujemy i jako administratorzy tych danych musimy się do tych przepisów dostosować. Próba zatrzymania danych klienta może bowiem skończyć się skargą do Prezesa Urzędu Ochrony Danych Osobowych.
Oczywiście nie dotyczy to sytuacji, kiedy z klientem łączy nas umowa o świadczenie usług, która nadal pozostaje w mocy, a rozwiązanie jej nie jest możliwe.
Więcej:
Usługi świadczone drogą elektroniczną – sprawdź czy te przepisy dotyczą również Twojej działalności w sieci
Kiedy powinnaś zadbać o regulamin na swojej stronie internetowej
Mam nadzieję, że po przeczytaniu tego artykułu będzie Ci dużo łatwiej, jako administratorowi danych osobowych, realizować prawa właścicieli danych, które gromadzisz. Wiesz już też, że nie zawsze musisz to prawo realizować, ale zawsze musisz o tym informować swoich odbiorców.
Zachęcam Cię też do bezpośredniego kontaktu ze mną pod adresem mailowym kontakt@poprawniewsieci.pl
Karo