Prawo do bycia zapomnianym

Prawo do bycia zapomnianym

Dnia 25 maja 2018 r. zastosowanie znajdą przepisy Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w tym także przepisy regulujące „prawo do bycia zapomnianym”. Uprawnienie to polega na tym, że osoba, której dane dotyczą, ma prawo żądania od administratora danych niezwłocznego usunięcia dotyczących jej danych osobowych.

Z uwagi na rozwój technologiczny, w szczególności związany z siecią Internet, koncepcja prawa do bycia zapomnianym nabiera coraz większego znaczenia. Na problematykę tę zwrócono uwagę w wyniku wydania wyroku przez Trybunał Sprawiedliwości Unii Europejskiej w dniu 13 maja 2014 r. w sprawie Google vs. Mario Costeja Gonzalez, który znany jest jako wyrok w sprawie prawa do bycia zapomnianym w sieci. W wyroku tym Trybunał orzekł, że operator wyszukiwarki internetowej może być zobowiązany do usunięcia z listy wyników wyszukiwania powiązanych z daną osobą informacji i prowadzących do nich linków, jeżeli stwierdzone zostanie, że mimo, iż zostały opublikowane zgodnie z prawem, to w aktualnym stanie rzeczy należy uznać je za niewłaściwe, niestosowne czy też nadmierne w stosunku do celów, w jakich są one przetwarzane przez operatora wyszukiwarki internetowej. Skład orzekający wskazał, że operator wyszukiwarki internetowej jest odpowiedzialny za dane, które pojawiają się na stronach internetowych publikowanych przez osoby trzecie. Na skutek tego wyroku Google udostępnił dla użytkowników europejskich specjalny formularz, za pomocą którego mogą się oni ubiegać o usunięcie wybranych wyników wyszukiwania.

 

Prawo do bycia zapomnianym uznano za istotną konstrukcję, wskutek czego została ona uregulowana w przepisach ogólnego rozporządzenia o ochronie danych (RODO).

 

Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym”, jeżeli zatrzymywanie takich danych narusza niniejsze rozporządzenie, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. Osoba, której dane dotyczą, powinna w szczególności mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z niniejszym rozporządzeniem. (…)

– Motyw 65 Preambuły RODO

 

Na mocy art. 17 ust. 1 RODO, jeżeli osoba, której dane dotyczą skorzysta z prawa do żądania niezwłocznego usunięcia danych, wówczas administrator będzie miał obowiązek bez zbędnej zwłoki usunąć dane w przypadku wystąpienia jednej z okoliczności:

 

  • dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,

  • osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania,

  • osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania,

  • dane osobowe były przetwarzane niezgodnie z prawem,

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,

  • dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

 

Przepis ust. 2 tego artykułu stanowi, że jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to uwzględniając dostępną technologię i koszt realizacji, powinien podjąć rozsądne działania, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

 

Oczywiście prawo do bycia zapomnianym nie pozostanie nieograniczone, gdyż na mocy przepisu art. 17 ust. 3 przepisy ustępów 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

  • do korzystania z prawa do wolności wypowiedzi i informacji,

  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3,

  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

  • do ustalenia, dochodzenia lub obrony roszczeń.

 

Niektóre z przytoczonych przepisów nie zostały szczegółowo sformułowane i dookreślone, dlatego pozostawiają wiele pytań, zwłaszcza przepis art. 17 ust. 2. Należy jednak uznać, że uregulowanie prawa do bycia zapomnianym w przepisach ogólnego rozporządzenia o ochronie danych jest ważnym krokiem w kierunku zapewnienia bezpieczeństwa i prywatności danych osobowych.

Realne i praktyczne zastosowanie prawa do bycia zapomnianym będzie zależało od opracowania procedur, w tym zakresie przez organy krajowe. 

Dlaczego rozporządzenie, a nie nowa dyrektywa? Ogólne rozporządzenie o ochronie danych osobowych, określane także jako RODO, to regulacja  wprowadzająca wiele …

Nowe obowiązki informacyjne Już niebawem, a dokładniej 25 maja 2018 r., zastosowanie znajdą przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) …

Czym jest pseudonimizacja? Ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych …