Usunięcie danych osobowych z BIK
Jeżeli podmiot danych (klient) cofnął swoją zgodę na przetwarzanie danych osobowych i żąda usunięcia jego danych osobowych to spółka jest do tego zobligowana, chyba że legitymuje się inną niż zgoda klienta przesłanką przetwarzania danych osobowych. Jeśli jednak zgoda na przetwarzanie danych została udzielona BIK, wówczas to nie do spółki należy realizacja żądania klienta.
Konieczna realizacja prawa do usunięcia danych
W art. 17 ust. 1 lit. a RODO przyznano osobie, której dane dotyczą, prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, jeżeli:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania – i właśnie z takim przypadkiem mamy do czynienia w pytaniu;
- osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania;
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.
Po zgłoszeniu takiego żądania administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.
Do dalszego przetwarzania konieczna realizacja innej przesłanki
Dane osobowe można nadal przetwarzać mimo żądania ich usunięcia tylko jeżeli zachodzi inna przesłanka ich przetwarzania określona w art. 6 ust. 1 RODO. Przykładowo jeżeli przepis prawa daje administratorowi prawo dalszego przetwarzania danych osobowych, wówczas spełniona jest przesłanka z art. 6 ust. 1 lit. c RODO („przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”).
Wszystko zależy od tego, komu podmiot danych udzielił zgody
Należy zauważyć, że art. 105a Prawa bankowego stanowi podstawę prawną przetwarzania danych osobowych przez BIK. Art. 105a ust. 2 Prawa bankowego pozwala BIK na samodzielne przetwarzanie danych osobowych klienta na podstawie jego pisemnej (lub elektronicznej) zgody – zgoda jest więc udzielana BIK przez samego klienta. Jeżeli natomiast to spółka zbiera dane osobowe klienta i jest administratorem jego danych osobowych, wówczas nie potrzebuje żadnej zgody na przekazywanie danych do BIK, co może nastąpić np. na podstawie umowy powierzenia przetwarzania.
Z pytania wynika, że wystąpił drugi z ww. przypadków, co oznacza, że spółka jest administratorem danych osobowych i udostępnia je BIK jako odrębnemu administratorowi danych osobowych. W takim przypadku decyzja o usunięciu danych z BIK jest decyzją tego administratora danych (BIK), który ocenia istnienie swoich przesłanek przetwarzania danych osobowych. Natomiast spółka jako administrator danych osobowych klienta ocenia tylko zasadność żądania usunięcia jego danych ze swoich rejestrów.
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Weryfikacja niekaralności w Krajowym Rejestrze Karnym i Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy dotyczy także niepełnoletnich
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Dostęp do danych osobowych dla pełnomocnika
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
