Jak zareagować na wniosek o usunięcie danych osobowych

Marcin Sarna

Autor: Marcin Sarna

Dodano: 19 marca 2019
Wniosek o umorzenie składek ZUS

Oczywiste jest, że reakcją administratora na wniosek o usunięcie danych osobowych winno być usunięcie tych danych zgodnie z żądaniem, jeśli spełnione są przesłanki uwzględnienia wniosku. Czy jednak samo usunięcie danych jest w takiej sytuacji wystarczające?

Kiedy usunięcie danych jest konieczne

Jednym z uprawnień osób, których dane dotyczą, jest prawo do żądania usunięcia danych osobowych. Uprawnienie to sprowadza się do możliwości żądania przez podmiot danych, aby administrator danych niezwłocznie usunął dane osobowe dotyczące tego podmiotu. W takiej sytuacji administrator musi usunąć dane osobowe, jeśli zachodzi jedna z okoliczności wskazanych w art. 17 ust. 1 RODO. W szczególności żądanie usunięcia danych powinno być zrealizowane, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane bądź osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania.

Przed usunięciem weryfikacja tożsamości wnioskodawcy …

Przepisy nie precyzują, w jakiej formie podmiot danych powinien zwrócić się do administratora z żądaniem usunięcia danych. Dlatego należy przyjąć, że forma ta jest dowolna zwłaszcza, że administrator danych ma obowiązek ułatwić podmiotowi danych wykonywanie przysługujących mu praw (art. 12 ust. 2 RODO). Niezależnie od powyższego administrator musi jednak zweryfikować tożsamość osoby żądającej usunięcia danych. Co więcej jeśli administrator danych ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie to może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

Uwaga

W każdym indywidualnym przypadku administrator danych zobowiązany jest ustalić, czy na podstawie dotychczas posiadanych przez siebie informacji jest w stanie ustalić tożsamość osoby, która wystąpiła z żądaniem. Dopiero w razie niemożności zweryfikowania tożsamości osoby żądającej usunięcia danych administrator może zażądać dodatkowych informacji od podmiotu danych. Dla potwierdzenia tożsamości podmiotu, który zażądał usunięcia danych wystarczający może okazać się zwykły e-mail zawierający skan podpisanego żądania o usunięcie danych (np. w sytuacji gdy e-mail wysłany został ze znanego administratorowi danych adresu albo gdy podpis na skanie dokumentu jest zgodny z podpisem znajdującym się na dokumentach składanych do tej pory przez podmiot danych).

Co zrobić z pismem zawierającym wniosek o usunięcie danych

Jak już wskazano, w przypadku zasadności wniosku o usunięcie danych należy wykonać czynność techniczną w postaci usunięcia danych zgodnie ze wnioskiem.  Czy wykonanie tej czynności musi być potwierdzone? Przepisy RODO nie nakazują administratorowi danych potwierdzania podmiotowi danych, że doszło do usunięcia jej danych osobowych zgodnie ze zgłoszonym żądaniem.

Jeśli natomiast chodzi o e-mail czy pismo, które zawiera żądanie usunięcia danych, to ze względu na zasadę rozliczalności i uprawnienia podmiotów danych (np. prawo do przeniesienia danych) administrator powinien rozważyć ich pozostawienie w dokumentacji, ale jednoczesne podjęcie czynności prowadzących do zminimalizowania zawartych w nich danych osobowych.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel