RODO w zamyśle prawodawcy ma stanowić kompleksową regulację dotyczącą danych osobowych. W części powiela ono lub udoskonala stosowane dotychczas w Polsce (na poziomie krajowym) zasady i rozwiązania z zakresu ochrony danych osobowych. Częściowo implementuje natomiast zupełnie nowe środki i sposoby ochrony danych, których dotychczas nie było w naszym ustawodawstwie, między innymi prawo do bycia zapomnianym i prawo do przeniesienia danych. Właśnie nim przyjrzymy się w tym artykule.
Prawo do bycia zapomnianym
Zgodnie z RODO osoba, której dane dotyczą, uzyskuje prawo do tego, by zostać zapomnianym, tzn. by jej dane osobowe zostały niezwłocznie usunięte przez administratora. W szczególności prawo to może być realizowane w trzech przypadkach:
- gdy dane osobowe nie są już niezbędne do celów, w których były przetwarzane
- gdy osoba, do której te dane się odnoszą, wniosła sprzeciw co do ich przetwarzania lub cofnęła zgodę na ich przetwarzanie
- gdy przetwarzanie danych jest w jakikolwiek inny sposób sprzeczne z prawem
Taki sprzeciw (lub cofnięcie zgody) musi zostać uznane przez administratora danych jeśli nie ma on żadnej innej podstawy (poza wspomnianą zgodą) do ich dalszego przetwarzania. Po co takie rozwiązanie? Zamysł jest taki, aby w szczególności chronić osoby, które wyraziły zgodę na przetwarzanie a nie były w pełni świadome ryzyka, jakie niesie ona za sobą.
Co na to administrator?
RODO nakłada skonkretyzowane obciążenia zwłaszcza na tych administratorów, którzy upublicznili przetwarzane przez siebie dane w internecie. Muszą oni podjąć wszelkie racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych im środków (w tym technicznych), aby poinformować innych administratorów, również przetwarzających dane osoby, która ma być „zapomniana”, o jej wniosku, jak również poinformować o usunięciu wszelkich łączy do tych danych, kopii tych danych lub ich replikacji.
Kiedy administrator nie ma obowiązku usunięcia danych, mimo że dana osoba wystąpiła z takim żądaniem? Między innymi w sytuacji, gdy przetwarzanie danych jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji, wywiązania się z prawnego obowiązku ciążącego na administratorze lub do ustalenia, dochodzenia lub obrony roszczeń administratora. Dlatego wniosek o bycie „zapomnianym” może zostać odrzucony na przykład w sytuacji, gdy klient sklepu internetowego nie zapłaci za towar lub usługę i jednocześnie żąda usunięcia swoich danych z bazy tegoż sklepu albo gdy usunięcia danych żąda od pracodawcy były pracownik (pracodawca ma obowiązek przechowywać akta osobowe przez okres 50 lat).
Pewne problemy
Teoretycznie wszystko wydaje się w miarę proste. Jednak sprawa komplikuje się, gdy rzeczony administrator cyklicznie i automatycznie wykonuje backup swoich systemów informatycznych. Niejednokrotnie wyłuskanie konkretnych danych (których dotyczy żądanie usunięcia) z takich kopii zapasowych jest technologicznie niewykonalne lub nadzwyczaj kosztowne. Niestety RODO nie odnosi się w konkretny sposób do tego zagadnienia, więc administratorzy będą zmuszeni wypracować w tym zakresie własne skutecznie rozwiązania.
Prawo do przeniesienia danych
Dane przechowywane są przeważnie w formie papierowej (rzadziej) lub cyfrowej (częściej). W pierwszym przypadku przeniesienie danych osobowych od jednego administratora do innego jest proste – należy wykonać kserokopię odpowiednich stron ze zbioru i przekazać ją osobie, której dane dotyczą, aby mogła je przenieść gdzie indziej. Sytuacja jest nieco bardziej skomplikowana w przypadku systemów informatycznych, w których dane są przechowywane w bardzo różnych formatach. Wychodząc naprzeciw tym trudnościom, RODO wprowadza obowiązek przekazania przez administratora osobie wnioskującej jej danych w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interoperacyjnym formacie i jednocześnie zachęca administratorów danych do opracowywania takich interoperacyjnych formatów, które umożliwiałyby przenoszenie danych. Z drugiej strony jednak RODO stanowi także, że prawo do przeniesienia danych nie ma na celu nakładania na administratorów obowiązku zmiany systemów przetwarzania na kompatybilne technicznie.
Co na to administrator?
Prawo do przenoszenia danych ma zastosowanie tylko w dwóch przypadkach – gdy osoba, której dane dotyczą, dostarczyła je administratorowi za własną zgodą lub gdy przetwarzanie tych danych jest niezbędne do wykonania umowy. Nie ma ono natomiast zastosowania, jeśli przetwarzanie opiera się na jakiejkolwiek innej podstawie, de facto więc prawo to jest dość mocno ograniczone.
Poza prawem otrzymania swoich danych w ramach „prawa do przeniesienia” wnioskodawca może żądać od administratora przesłania bezpośrednio tych danych innemu administratorowi. RODO zastrzega jednak, że administrator jest zobowiązany zadośćuczynić takiemu żądaniu tylko, jeśli jest to technicznie możliwe. Co, biorąc pod uwagę różne formaty baz stosowane przez różnych administratorów, może nie być wykonywalne.
Zgodnie z RODO administrator musi podczas pozyskiwania danych poinformować osobę, do której te dane się odnoszą, o możliwości ich przeniesienia. Należałoby się więc spodziewać powiadomienia o tym, w jakim formacie dane mogą być udostępniane, czy w ogóle administrator – a jeśli tak, to w jakich wypadkach – umożliwia bezpośrednie przekazywanie danych innemu administratorowi, itp. W ten sposób zainteresowana osoba, już przekazując dane, będzie mogła zorientować się, jakie realne szanse na realizacje tego prawa do przeniesienia danych, będzie miała w przyszłości.
O nowych instytucjach wprowadzonych przez RODO można mówić na razie jedynie teoretycznie, powołując się na nowe wprowadzone w tym zakresie przepisy. To, jak ich realizacja będzie wyglądać faktycznie pokażą pierwsze miesiące i lata funkcjonowania nowej regulacji.
Zapisz się na nasz newsletter i dostawaj najnowsze informacje o RODO prosto na swoją skrzynkę:
`