RODO a nowe uprawnienie właściciela danych – co oznacza prawo do bycia zapomnianym?
Zmiany, które niesie ze sobą Rozporządzenie ogólne o ochronie danych osobowych, z dnia 27 kwietnia 2016 r. (RODO) i uwzględniający je projekt ustawy o ochronie danych osobowych z dnia 14 września 2017 r., wprowadza, między innymi, nowe prawa dla osób, których prawa osobowe dotyczą. Jednym z nich jest prawo do usunięcia danych osobowych. Prawo te ma złożony charakter, bowiem oznacza zarówno prawo do żądania usunięcia danych oraz prawo do bycia zapomnianym.
Prawo to stanowi niejako pokłosie oraz rozszerzenie wniosków, do których doszedł Trybunał Sprawiedliwości Unii Europejskiej w wyroku w sprawie „Google Spain i Inc przeciwko Agencia Española De Protección De Datos (Aepd) i Mario Costeja Gonzáles” (C-131/12). W wyroku tym Trybunał podkreślił wagę podstawowych praw jednostek, jakimi są poszanowanie ich prywatności i ochrona danych osobowych, w przypadku ich przetwarzania w ramach działania wyszukiwarek internetowych. Trybunał wskazał na szczególne prawo osób do żądania bycia usuniętym z listy wyników wyszukiwania przez operatorów tych wyszukiwarek.
Przepisy RODO wprowadziły szerszą ochronę, która obejmuje nie tylko wyszukiwarki internetowe, lecz wszelkie dane będące w posiadaniu administratora, w tym ich kopie, linki, odniesienia i dokumenty papierowe (w tym wydruki oraz skany dokumentów).
W myśl art. 17 RODO, każda osoba fizyczna może żądać „bycia zapomnianym” po spełnieniu określonych przesłanek, tj. między innymi wtedy, gdy:
– dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
– osoba, której dane dotyczą, cofnęła zgodę i nie ma innej podstawy prawnej ich przetwarzania;
– osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
– dane osobowe były przetwarzane niezgodnie z prawem.
Jaki więc wpływ na Administratora danych osobowych – podmiotu gospodarującego danymi uprawnionego, będą miały wyżej wskazane uprawnienia? Obowiązki i związane z nimi czynności Administratora można podzielić na dwie kwestie: usunięcie danych, o które wnioskuje uprawniony oraz czynienie obowiązku informacyjnego wobec pozostałych administratorów. Pierwsze ma zastosowanie wówczas, gdy uprawniony zwraca się z żądaniem usunięcia danych. Takie działanie wymaga jednak solidnej weryfikacji, chociażby z uwagi na dość nieostre przesłanki dopuszczające odmowę usunięcia danych (ust. 3), a także ze względu na przewidziane w RODO sankcje za niedopełnienie tych obowiązków – naruszenie wskazanego przepisu zagraża bowiem nałożeniem kary administracyjnej w wysokości do 20 mln Euro lub do 4 % rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa. Niezależnie od powyższego, Administrator może również odpowiadać z tytułu roszczeń uprawnionego- pokrzywdzonego, dochodzonych przez sądem cywilnym.
Prawo do bycia zapomnianym wiąże się z koniecznością przekazania przez Administratora innym administratorom informacji o żądaniu uprawnionego, którego dane dotyczą. Administrator występuje tu w roli swoistego pośrednika, niemniej jednak nie w każdym przypadku jest do tego zobowiązany. W myśl bowiem art. 17 ust. 2 RODO, Administrator podejmuje „rozsądne działania”, przy uwzględnieniu ogólnych możliwości, tj. dostępnej technologii i kosztów realizacji. Z powyższego wynika, iż obowiązki wykonywane przez Administratora powinny być odpowiednio proporcjonalne do wysuniętych przez uprawnionego żądań. Zobowiązanie Administratora nie powstanie także w przypadku, gdy przetwarzanie danych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi.
Wskazane wyżej uprawnienia oraz obowiązki Administratora są obwarowane ograniczeniem czasowym. Art. 12 ust. 3 RODO stanowi, iż o podjętych działaniach w związku z żądaniem uprawnionego, wysuniętym na podstawie art. 17 RODO, Administrator powinien poinformować bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. Niezastosowanie się zaś do omawianego nakazu obliguje go do niezwłocznego, nie później niż w terminie miesiąca od otrzymania żądania, poinformowania uprawnionego o powodach niepodjęcia tych działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.