
W maju tego roku mieliśmy prawdziwy wysyp wiadomości z informacją o przetwarzaniu danych osobowych, które otrzymaliśmy od różnych firm. Niektórzy byli nimi bardzo poirytowani, a inni postanowili wykorzystać ten moment i zażądać tego, aby wszystkie dane, które ich dotyczą, zostały usunięte. Informacja o możliwości żądania usunięcia swoich danych jest bowiem częścią obowiązku informacyjnego, o czym pisałem tutaj.
Pomimo tego, że informacja o prawie do żądania usunięcia danych osobowych znajduje się w treści obowiązku informacyjnego, wiele firm miało prawo odmówić ich usunięcia osobom, których dane dotyczą. Dlaczego? Bo prawo do żądania usunięcia danych nie jest uprawnieniem które przysługuje w każdej sytuacji. RODO wskazuje dość szczegółowo, kiedy można skutecznie zażądać usunięcia danych osobowych, a kiedy nie – tzn. kiedy administrator może odmówić ich usunięcia. Podejrzewam zresztą, że odmowy w zakresie usunięcia danych były przyczyną złożenia do Prezesa Urzędu Ochrony Danych Osobowych wielu skarg – w mediach pojawiają się informacje, że jest ich już ponad 1.000.
Tak jak już wspomniałem, twórcy RODO wprost wskazali sytuacje, w których można zażądać usunięcia danych. Przypadki te opisywałem szerzej kilka miesięcy temu tutaj, więc wymienię je tylko dla przypomnienia:
dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie
osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą – o sprzeciwie możesz przeczytać także tutaj,
dane osobowe były przetwarzane niezgodnie z prawem,
dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
Ale to nie wszystko. Przepisy RODO wskazują również sytuacje, gdy administrator może odmówić usunięcia danych. Są to następujące przypadki:
do korzystania z prawa do wolności wypowiedzi i informacji – tutaj musimy pamiętać o wzięciu pod uwagę dwóch interesów – z jednej strony mamy prawa osoby, której dane dotyczą (która może sobie nie życzyć publikowania informacji o sobie), a z drugiej – prawa do wolności wypowiedzi, informowania społeczeństwa o różnego rodzaju wydarzeniach czy osobach (np. w ramach informowania o czymś ogółu społeczeństwa). Trzeba rozważyć, które z tych praw jest istotniejsze – jeżeli rzeczywiście prawo do wolności wypowiedzi przeważa nad koniecznością ochrony praw i wolności osoby, której dane dotyczą – możemy dalej przetwarzać dane, które miały być usunięte,
do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi – w tym przypadku sprawa jest prosta. Jeżeli mamy prawny obowiązek przetwarzania danych osobowych lub dane przetwarzane są w celu realizacji zadań publicznych (na podstawie odpowiednich przepisów) to nie można skutecznie żądać usunięcia danych. W innym przypadku musielibyśmy np. usunąć dane zawarte w treści faktur VAT, chociaż przepisy prawa podatkowego zobowiązują nas do ich przechowywania.
z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego – tam, gdzie przetwarzanie danych związane jest z koniecznością zapewnienia bezpieczeństwa w zakresie zdrowia publicznego (np. w związku z obowiązkowymi badaniami lub szczepieniami) nie można skutecznie żądać prawa do bycia zapomnianym,
do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (…) o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania – nawet jeśli zrealizowaliśmy cele, w związku z którymi przetwarzaliśmy dane, ale są one nam niezbędne w celu tworzenia np. statystyk dotyczących naszej działalności, możemy je zachować.
do ustalenia, dochodzenia lub obrony roszczeń – chyba najistotniejsza przesłanka dla przedsiębiorców. Jeżeli ktoś żąda od nas usunięcia danych, a zalega nam z płatnościami, toczy się spór co do wykonania umowy pomiędzy nami a tą osobą albo po prostu wiemy, że ta osoba chce do nas zgłosić jakieś pretensje lub roszczenia, mamy prawo do odmowy żądania usunięcia danych – po to aby zabezpieczyć nasze interesy.
W praktyce widzimy, że wiele osób (np. „sprytnych” dłużników) próbuje powołać się na żądanie usunięcia danych osobowych po to aby uniemożliwić (lub chociaż utrudnić) dochodzenie od nich jakichś roszczeń. Nie ma to wiele wspólnego z prawami przysługującymi osobom, których dane dotyczą, zgodnie z RODO. Tak długo bowiem jak istnieją jakieś roszczenia, których możemy dochodzić, możemy przetwarzać te dane i możemy odmówić realizacji żądania usunięcia danych.