Usunięcie danych osobowych – czy także z kopii zapasowych

Osoba, której dane dotyczą, ma prawo żądania od administratora danych niezwłocznego usunięcia dotyczących jej danych osobowych (tzw. prawo do bycia zapomnianym), jeżeli zachodzi jedna z okoliczności wymienionych w art. 17 ust. 1 ogólnego rozporządzenia o ochronie danych (rodo):

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie i nie ma innej podstawy prawnej przetwarzania,

c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania,

d) dane osobowe były przetwarzane niezgodnie z prawem,

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator,

f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Żądanie usunięcia danych zainteresowana osoba kieruje do administratora danych, który ma obowiązek je zrealizować, jeśli oceni, że spełniona jest którakolwiek ze wskazanych wyżej przesłanek. Jeśli odpadła przesłanka zgody na przetwarzanie danych, ale istnieje podstawa do przetwarzania danych osobowych, np. prawnie uzasadniony interes realizowany przez administratora danych (art. 6 ust. 1 pkt f rodo), to wówczas administrator danych nie ma obowiązku usuwać danych. Należy jednak zastrzec, że w takiej sytuacji administrator musi zbadać, czy nie została spełniona jedna z pozostałych przesłanek, wskazanych w punktach c–e. Jeśli tak to i tak zobowiązany jest usunąć dane osobowe osoby, która zgłosiła takie żądanie.

Usunięcie danych oznacza w mojej opinii definitywne wykasowanie danych z wszelkich nośników danych, w tym także z kopii zapasowych. Co więcej, to na administratorze danych spoczywa obowiązek zapewnienia prawidłowości przebiegu usuwania danych osobowych, przez co należy rozumieć: podjęcie decyzji o usunięciu danych osobowych, wybór sposobu jej realizacji (zniszczenie lub modyfikacja danych) i faktyczne wykonanie zniszczenia lub modyfikacji danych, co warto udokumentować.

Jeżeli administrator upublicznił dane osobowe, a ma obowiązek je usunąć, wówczas zobowiązany jest podjąć działania, biorąc pod uwagę dostępną technologię i koszty, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Warto także wspomnieć, że prawo do usunięcia danych nie ma charakteru bezwzględnego. Ogólne rozporządzenie o ochronie danych przewiduje sytuacje w których „prawo do bycia zapomnianym” nie znajduje zastosowania (art. 17 ust. 3 rodo). Chodzi o sytuacje, w których przetwarzanie danych jest niezbędne:

a) do korzystania z prawa do wolności wypowiedzi i informacji,

b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h, i oraz art. 9 ust. 3,

d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, jeśli prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

e) do ustalenia, dochodzenia lub obrony roszczeń.