Dokument aktualny
Zobacz inne wersje:

Jak zareagować na wniosek o usunięcie danych osobowych według RODO

Marcin Sarna

Autor: Marcin Sarna

Dodano: 31 maja 2023
Wniosek o umorzenie składek ZUS

Po otrzymaniu wniosku o usunięcie danych osobowych administrator musi najpierw sprawdzić, czy żądanie jest zasadne. Jeżeli tak, wtedy konieczne jest nie tylko usunięcie danych osobowych ale też spełnienie dodatkowego obowiązku informacyjnego RODO.

Kiedy można złożyć wniosek o usunięcie danych osobowych - prawo do bycia zapomnianym

Czym jest wniosek o usunięcie danych? Otóż jest to żądanie od administratora niezwłocznego usunięcia danych osobowych dotyczących żądającego. Żądanie takie jest zasadne, jeżeli:

  • dane osobowe nie są już niezbędne do celów, w których są przetwarzane,
  • osoba, której dotyczą dane, cofnęła zgodę na ich przetwarzanie i nie ma innej podstawy tego przetwarzania,
  • podmiot danych wniósł sprzeciw na mocy art. 21 ust. 1 RODO i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania albo gdy podmiot danych wniósł sprzeciw w trybie art. 21 ust. 2 RODO,
  • dane osobowe przetwarzano nielegalnie,
  • dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub krajowym, któremu podlega administrator,
  • dane osobowe zebrano w związku z oferowaniem usług społeczeństwa informacyjnego.

Więcej na temat prawa do bycia zapomnianym w nagraniu. W artykule skoncentrujemy się natomiast na prawidłowej reakcji na wniosek o usunięcie danych osobowych.

Prawo do żądanie usunięcia danych osobowych w dowolnej formie

Przepisy nie precyzują, w jakiej formie podmiot danych powinien zwrócić się do administratora danych osobowych z żądaniem ich usunięcia. Dlatego należy przyjąć, że forma ta jest dowolna zwłaszcza, że administrator danych ma obowiązek ułatwić podmiotowi danych wykonywanie przysługujących mu praw (art. 12 ust. 2 RODO).

Administrator musi zweryfikować tożsamość osoby, której dane dotyczą

Nawet jeśli żądanie usunięcia danych jest zasadne, to w pierwszej kolejności należy zweryfikować tożsamość wnioskodawcy, jeżeli nie jest ona pewna. Najpierw należy podjąć próbę weryfikacji na podstawie posiadanych informacji. Zaś dopiero w razie braku możliwości takiej weryfikacji administrator może zażądać dodatkowych informacji od wnioskodawcy.

Przykład

Dla potwierdzenia tożsamości wnioskodawcy wystarczający może okazać się zwykły e-mail zawierający skan podpisanego wniosku o usunięcie danych. Rozwiązanie takie sprawdzi się w sytuacji, gdy e-mail wysłany został ze znanego administratorowi danych adresu albo gdy podpis na skanie dokumentu jest zgodny z podpisem znajdującym się na dokumentach składanych do tej pory przez podmiot danych.

Usuwanie danych – także z kopii zapasowych

Kolejnym krokiem jest oczywiście ocena zasadności żądania usunięcia danych osobowych w kontekście przesłanek wskazanych w art. 17 ust. 1 RODO. Jeżeli wypadnie ona pozytywnie to administrator ma obowiązek niezwłocznego usunięcia przetwarzanych danych osobowych.

Uwaga

Usunąć należy także dane osobowe przechowywane w kopiach zapasowych. Przechowywanie danych osobowych należy bowiem uznać za ich przetwarzanie, a takowe po usunięciu danych jest niedopuszczalne.

Dodatkowy obowiązek informacyjny RODO

Czy usunięcie danych osobowych musi być potwierdzone? Przepisy RODO nie nakazują administratorowi danych potwierdzania podmiotowi danych, że doszło do usunięcia jej danych osobowych zgodnie ze zgłoszonym żądaniem. Nie oznacza to jednak, że administrator nie podlega obowiązkowi informacyjnemu. Otóż musi on poinformować:

  • każdego odbiorcę, któremu ujawniono dane osobowe, o usunięciu tych danych, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku (pobierz wzór takiej informacji),
  • wnioskodawcę o tych odbiorcach, jeżeli tego zażąda.

Zasada rozliczalności – jak postąpić z wnioskiem o usunięcie danych

Jeśli natomiast chodzi o e-mail czy pismo, które zawiera żądanie usunięcia danych, to administrator powinien rozważyć ich pozostawienie w dokumentacji. Jednocześnie powinien podjąć czynności prowadzące do zminimalizowania zawartych w nich danych osobowych. W ten sposób zgodnie z regułą rozliczalności będzie on w stanie wykazać, że spełnił żądanie usunięcia danych.

Podstawa prawna: 
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 17, art. 19
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x