RODO w artykule 17 definiuje prawo do bycia zapomnianym. Dzięki temu dostajemy narzędzie umożliwiające żądanie od firm, które przetwarzają nasze dane, usunięcia ich, zarówno po stronie firmy operującej na naszych danych, jak również firm współpracujących z nią.
Jak to wygląda w praktyce? Przykładowo kupujesz coś w sklepie wysyłkowym z dostawą do domu. Twoje dane w pierwszej kolejności wędrują do właściciela e-sklepu a następnie są przekazywane do firmy kurierskiej, która ma za zadanie dostarczyć twoją paczkę. Jeśli wyrazisz chęć bycia zapomnianym, sklep internetowy musi usunąć twoje dane oraz powiadomić firmę kurierską aby zrobiła to samo. Oczywiście zapis obowiązuje w momencie, kiedy sklep nie potrzebuje już przetwarzać twoich danych. Oznacza to, że paczka została dostarczona i twoje dane nie są już do niczego potrzebne. No chyba, że zapisałeś się na newsletter lub inną usługę. Ale tak naprawdę na tym nie koniec. Prawo do bycia zapomnianym działa tylko wtedy, kiedy wszystkie zobowiązania względem tych danych ustają. Mówiąc wprost, po zakupie produktu ze sklepu, mamy okres gwarancyjny, który obowiązuje przez określony czas (w niektórych przypadkach nawet 10 lat i dłużej). Poza tym pozostają jeszcze kwestie skarbowe, które mogą się ciągnąć bardzo długo.
Tak więc ten przepis wprowadza pewną zmianę w życiu konsumenta oraz administratorów danych osobowych, jednak nie oszukujmy się. Nie będzie miał on aż takiego szerokiego pola działania jak myślisz. Wynika to z faktu, że wszystko jest połączone zbyt dużą pajęczyną zależności finansowych, prawnych i skarbowych. Oczywiście można próbować „być zapomnianym” ale czy się to uda to już inna historia.
Jedną z ważniejszych kwestii pozostaje uczciwość posiadacza naszych danych. Skąd będziemy mieli pewność, że firma przetwarzająca nasze dane, nie odsprzeda ich innej, która wykorzysta je do spamowania nas lub ponownej odsprzedaży. Udowodnienie tego będzie niezwykle trudne, kosztowne i w większości przypadków niemożliwe.
Warto również zaznaczyć, że RODO nakazuje „zapomnieć” dane osobowe i wykorzystać do tego celu wszelkie niezbędne środki techniczne oraz prawne, ale w granicach rozsądku. Należy brać pod uwagę dostępną technologię i koszty. Sam akt prawny ogranicza zakres działania poprzez „rozsądne działanie”. Przedsiębiorca ma wykazać „staranne działanie” do usunięcia danych osobowych. A jeśli mu się nie uda to będzie mógł się powołać przykładowo na ograniczenia finansowe lub technologiczne.
Hmm… „I co Pan nam zrobi?”
Poniżej macie całą treść wspomnianego 17-tego artykułu
Artykuł 17
Prawo do usunięcia danych („prawo do bycia zapomnianym”)
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
2. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
3. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
e) do ustalenia, dochodzenia lub obrony roszczeń.
(65)
Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym”, jeżeli zatrzymywanie takich danych narusza niniejsze rozporządzenie, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. Osoba, której dane dotyczą, powinna w szczególności mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z niniejszym rozporządzeniem. Prawo to ma znaczenie w przypadkach, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko, gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, w szczególności z internetu. Osoba, której dane dotyczą, powinna móc wykonywać to prawo, mimo że już nie jest dzieckiem. Niemniej dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do korzystania z wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego, do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.
(66)
Aby wzmocnić prawo do „bycia zapomnianym” w internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. Spełniając ten obowiązek administrator powinien podjąć racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych mu środków, w tym dostępnych środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą.