Czym jest prawo do bycia zapomnianym w RODO?

Mateusz Zimoch
20.10.2022
Z oczywistych względów konsumenci nie chcą, aby firmy i instytucje przetwarzały ich dane osobowe w nieskończoność. Na przykład, gdy rozwiązują umowę lub przestają subskrybować określoną usługę, zazwyczaj chcą, aby firma przestała przetwarzać informacje na ich temat. Jest to tak zwane prawo do bycia zapomnianym. Co należy o nim wiedzieć w kontekście RODO?

Internauci szczególnie interesują się "prawem do bycia zapomnianym" od czasu wejścia w życie ogólnego prawa o ochronie danych (RODO) w ostatnich latach. Ważne jest, aby zrozumieć, jak faktycznie działa "prawo do bycia zapomnianym".

Zgodność z prawem do bycia zapomnianym może być skomplikowana, podobnie jak w przypadku każdej innej części RODO. Ma to konsekwencje zarówno dla osoby, której dane dotyczą, jak i dla organizacji, która chce wykorzystać dane osobowe lub wrażliwe informacje o danej osobie. Wszystkie firmy z Unii Europejskiej (UE) powinny znać zobowiązania prawne wynikające z RODO i rozumieć prawo do bycia zapomnianym.

Co oznacza prawo do bycia zapomnianym?

Prawo do usunięcia danych to art. 17 RODO, choć jest ono bardziej znane jako prawo do bycia zapomnianym. Zgodnie z art. 17 osoba ma prawo zażądać od administratora danych usunięcia wszystkich swoich danych osobowych bez zbędnej zwłoki i bez pobierania jakichkolwiek opłat. Obejmuje to wszelkie pliki lub informacje, które mogły zostać przeniesione do archiwum, w tym:

  • Zduplikowane kopie
  • Kopie zapasowe
  • Rekordy bazy danych
  • Inne formy danych osobowych

Pojęcia administratora danych i podmiotu przetwarzającego dane są wyraźnie wyjaśnione w RODO. Strona prawnie odpowiedzialna za przechowywanie danych osobowych przechowywanych cyfrowo jest znana jako administrator danych. Organizacja, która przechowuje lub przetwarza dane osobowe, ale nie przejmuje własności ani kontroli nad danymi, jest znana jako podmiot przetwarzający dane. Zazwyczaj dostawca usług w chmurze jest uważany za podmiot przetwarzający dane w kontekście RODO.

Dane nie mogą być przechowywane w kopiach ani udostępniane do innych celów przez podmiot przetwarzający dane. W związku z tym proces decyzyjny nie leży w gestii administratora danych; jego obowiązkiem jest raczej usunięcie danych osobowych, upewnienie się, że zostały one usunięte i przeprowadzenie wszystkich niezbędnych procedur.

Wszystkie firmy i organizacje prowadzące działalność w Unii Europejskiej muszą być w stanie przestrzegać prawa do usunięcia danych zawartego w rozporządzeniu. W przeciwnym razie grożą im ogromne grzywny.

Usuwanie danych osobowych

Obywatel UE ma prawo, zgodnie z RODO, zażądać od dowolnej firmy lub instytucji usunięcia swoich danych osobowych, jeśli:

  • Dane nie mają już związku z celem, dla którego zostały zgromadzone.
  • Osoba wycofuje swoją zgodę na wykorzystanie jej danych przez organizację (i jeśli nie ma innej podstawy prawnej do gromadzenia danych przez organizację).
  • Osoba fizyczna sprzeciwia się gromadzeniu jej danych do celów marketingowych lub gdy jej prawa przeważają nad prawnymi powodami uzyskania informacji (np. gdy dotyczy to wrażliwych informacji o dziecku).
  • Dane były przetwarzane w niewłaściwy sposób.
  • Usunięcie danych jest wymagane w celu spełnienia wymogu prawnego.
  • Informacje zostały wymienione na "usługi społeczeństwa informacyjnego" i należały do dziecka.

Wyjątki od "prawa do bycia zapomnianym"

Istnieje kilka okoliczności, w których firma może twierdzić, że jest zwolniona z tej zasady lub że przechowywanie danych danej osoby jest rzeczywiście konieczne. Kryteria takiego wniosku są jednak otwarte. Ludzie mają możliwość ubiegania się o usunięcie danych, jeśli uważają, że firma nie ma uzasadnionych podstaw do przetwarzania ich danych, jeśli sprzeciwiają się przetwarzaniu lub jeśli po prostu wycofają swoją zgodę na przetwarzanie.

Nadzór wideo i telewizja przemysłowa w świetle RODO

Informacje o osobie fizycznej, które ją identyfikują, są określane jako dane osobowe. W związku z tym obrazy wideo można uznać za dane osobowe. Komercyjne systemy CCTV są przykładem tego, jak firmy wykorzystują nagrania wideo danej osoby do przetwarzania danych osobowych.

Podmioty danych to osoby, które są monitorowane. Mają one prawo do danych osobowych. Administrator musi zareagować, jeśli zdecydują się skorzystać z przysługujących im praw. Wszystkie prawa przewidziane w RODO mają zastosowanie do osób, których dane dotyczą. Jeśli jednak chodzi o nadzór wideo, należy zwrócić szczególną uwagę na prawa dostępu, usunięcia i sprzeciwu. Możesz chronić się, jeśli zostałeś poddany monitoringowi wideo, składając wniosek o udostępnienie danych.

Każda firma lub osoba prowadząca system nadzoru jest klasyfikowana jako administrator danych lub podmiot przetwarzający dane i jako taka ma obowiązki prawne. Twoja firma musi być gotowa uzasadnić gromadzenie i wykorzystywanie danych osobowych za pośrednictwem systemu nadzoru wideo jako administrator danych.

W związku z tym Twoja firma musi zweryfikować, w jaki sposób wykorzystuje sprzęt do monitoringu wideo, jeśli chodzi o zgodność z przepisami RODO. Czasami konieczna może być anonimizacja wideo.

Jeśli przetwarzasz filmy i obrazy zawierające dane osobowe (twarze, tablice rejestracyjne) i musisz je zanonimizować, możesz to łatwo zrobić za pomocą naszej platformy.

Podsumowanie

Prawo do bycia zapomnianym to niedawno opracowane pojęcie prawne, które ma znaczące konsekwencje dla prywatności, wolności słowa i przepisów internetowych. Firmy powinny mieć świadomość, że prawo do usunięcia danych nie daje absolutnego "prawa do bycia zapomnianym", gdy otrzymują wnioski o prawo do bycia zapomnianym. Innymi słowy, nie musisz usuwać danych, jeśli mają one ważne zastosowanie lub jeśli masz ważny powód, aby zachować je w swoich rejestrach.

Read more about the right to be forgotten: https://www.techtarget.com/searchcontentmanagement/definition/The-right-to-be-forgotten
https://www.itpro.co.uk/general-data-protection-regulation-gdpr/what-is-the-right-to-be-forgotten
https://www.ocucon.com/blog/are-you-gdpr-ready