RODO: Usunąć dane czy nie?

Jednym z uprawnień osób, których dane dotyczą, jest prawo do bycia zapomnianym. Uprawnienie to sprowadza się do możliwości żądania, aby administrator danych niezwłocznie usunął dane osobowe. W takiej sytuacji administrator musi je usunąć, jeśli zachodzi jedna z okoliczności wskazanych w art. 17 ust. 1 RODO, czyli np. gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane.

Przepisy nie precyzują, w jakiej formie powinno zwrócić się do administratora z żądaniem usunięcia danych. Dlatego należy przyjąć, że forma ta jest dowolna: pismo wysłane listem lub wiadomość email. W każdym przypadku administrator zobowiązany jest ustalić, czy na podstawie posiadanych przez siebie informacji jest w stanie ustalić tożsamość osoby, która wystąpiła z żądaniem. W razie niemożności zweryfikowania tożsamości osoby żądającej usunięcia danych, administrator może zażądać dodatkowych informacji w celu ich weryfikacji.

Dla potwierdzenia tożsamości wystarczającym może być e-mail zawierający podpisane żądanie (np. w sytuacji, gdy e-mail wysłany został ze znanego administratorowi adresu) albo gdy podpis na dokumencie żądania jest zgodny z podpisem znajdującym się na dokumentach wcześniej składanych przez stronę.

Co zrobić z wnioskiem o usunięcie danych?

Gdy wpłynie do administratora żądanie usunięcia danych, należy wykonać czynność techniczną w postaci usunięcia wskazanych we wniosku danych. Przepisy RODO nie nakazują administratorowi potwierdzania, że doszło do usunięcia danych osobowych. Ze względu na zasadę rozliczalności i uprawnienia podmiotów danych administrator powinien rozważyć pozostawienie w dokumentacji żądania, ale jednocześnie podjąć czynności prowadzących do zminimalizowania zawartych w nich danych osobowych.

Do powyższego obowiązku RODO przewiduje kilka wyjątków, wśród których należy wymienić przede wszystkim prawny obowiązek dalszego przetwarzania danych (np. na mocy ustawy o rachunkowości, ordynacji podatkowej) oraz sytuacje związane z ustaleniem, dochodzeniem lub obroną przed roszczeniami (np. w razie sporu sądowego). Pamiętać należy, że te same dane osobowe mogą być przetwarzane przez różne okresy – np. równocześnie przez 3 lata i przez 5 lat. W takim przypadku należy usunąć je lub zniszczyć dopiero po upływie najdłuższego z okresów.

Administrator, w przypadku wcześniejszego upublicznienia danych osobowych – np. na stronie internetowej – ma również obowiązek zgłosić żądanie pozostałym administratorom, którzy przetwarzają dane osoby, która zgłosiła żądanie usunięcia swoich danych. W rozporządzeniu jednak znajduje się zapis, który określa, że czynność ta powinna zostać wykonana jedynie w przypadku, kiedy jej przeprowadzenie nie będzie wymagało nadmiernych środków technicznych oraz kosztów.

Uwaga! Bezprawne usunięcie (choćby przypadkowe) danych osobowych jest naruszeniem ich ochrony, dlatego obowiązkiem jest zapewnienie ich bezpiecznego przechowywania. W przeciwnym wypadku narażamy się na ewentualne kary.
W przypadku, kiedy administrator ustali, że wniosek o usunięcie danych osobowych jest bezzasadny, może on odmówić jego rozpatrzenia informując wnioskującego o tym fakcie wraz z uzasadnieniem.

Przetwarzając dane osobowe, prędzej czy później staniemy przed koniecznością ich usunięcia. Warto zatem zawczasu przygotować się na takie działanie, a w razie potrzeby nawiązać współpracę z profesjonalnymi podmiotami zajmującymi się utylizacją nośników, na których dane są przechowywane.
Ważne, aby zrobić to bez presji czasu, z uwzględnieniem wszystkich dających się przewidzieć okoliczności. Dodatkowe koszty są w tym wypadku nieuniknione, lecz bezpieczeństwo i profesjonalizm działalności są warte tego, by je ponieść.

Przydatne:
Również od internetowych wyszukiwarek można żądać usunięcia danych osobowych.
Na przykład: aby dokonać tego w Google można skorzystać ze strony
support.google.com/
/legal/troubleshooter/1114905
lub wpisać do wyszukiwarki frazę: „usuwanie treści z Google”.