Jak „zapomnieć” dane osobowe
Prawo do bycia zapomnianym to inaczej uprawnienie do żądania usunięcia danych osobowych. Administrator danych musi wiedzieć, jak na takie żądanie zareagować i w jakich przypadkach je zrealizować. Błąd w tym zakresie może nieść za sobą roszczenia odszkodowawcze podmiotów danych bądź kary UODO.
Najpierw odnotuj żądanie
Żądanie usunięcia danych osobowych wcale nie musi być pisemne. Każde tego typu żądanie, nawet ustne, musi być przyjęte i rozpoznane przez administratora. Dlatego powinien on uczulić swój personel, aby nie bagatelizować nawet najbardziej absurdalnych żądań, bądź też składanych drogą inną niż pisemna.
Niepodpisany e-mail z żądaniem usunięcia danych osobowych nie może być zignorowany. Personel administratora powinien wówczas podjąć działania w celu ustalenia tożsamości nadawcy. Więcej na ten temat poniżej.
Konieczna weryfikacja tożsamości
Nie obejdzie się bez weryfikacji tożsamości wnioskodawcy. Wszak administrator musi mieć pewność, że żądanie bycia zapomnianym, pochodzi od podmiotu danych bądź od jego przedstawiciela.
Weryfikacja tożsamości rozmówcy telefonicznego może odbyć się z wykorzystaniem jednej z danych osobowych przetwarzanych przez administratora tych danych. Administrator może poprosić rozmówcę np. o podanie daty urodzenia.
Zaniechanie weryfikacji może doprowadzić do sytuacji, w której dojdzie do usunięcia danych w wyniku żądania osoby nieuprawnionej, a to stanowi naruszenie ochrony danych.
Nie zawsze żądanie będzie uzasadnione
Nie w każdym przypadku podmiot danych może żądać bycia zapomnianym. Administrator musi w oparciu o przepisy RODO i analizę stanu faktycznego zbadać, czy żądanie może być spełnione. W tym pomoże poniższa tabela.
|
Dane osobowe należy usunąć, jeżeli: |
Administrator nie musi usuwać danych osobowych, jeżeli ich przetwarzanie jest niezbędne do: |
|
Te dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; |
do korzystania z prawa do wolności wypowiedzi i informacji; |
|
osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych na podstawie tej zgody i nie ma innej podstawy prawnej przetwarzania; |
do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; |
|
osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują okoliczności go wykluczające |
z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego; |
|
dane osobowe były przetwarzane niezgodnie z prawem; |
do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, jeśli tylko prawdopodobne jest, że usunięcie uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub |
|
dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego, któremu podlega administrator; |
do ustalenia, dochodzenia lub obrony roszczeń. |
|
dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego. |
|
Usunięcie danych – czyli
Jeżeli administrator uzna żądanie za zasadne, wówczas powinien dokonać usunięcia danych. W praktyce chodzi tu o wykasowanie ich lub anonimizację (z wszelkich nośników danych).
Usunięcie danych to całkowite zaprzestanie ich przetwarzania, w tym również przechowywania.
Na koniec obowiązki informacyjne
Oczywiście o sposobie załatwienia wniosku należy poinformować wnioskodawcę. Jak się jednak okazuje, to nie jedyny obowiązek administratora. W przypadku danych upublicznionych powinien on bowiem − uwzględniając dostępną technologię i koszt realizacji – podjąć rozsądne działania, w tym środki techniczne, aby poinformować administratorów przetwarzających te dane o żądaniu usunięcia wszelkich łącz do tych danych, kopii tych danych osobowych lub ich replikacji.
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Obowiązek informacyjny w związku z rozmową telefoniczną - jak przekazać klauzulę informacyjną RODO
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
