Zgodnie z unijnym Rozporządzeniem o Ochronie Danych Osobowych każdy obywatel może żądać usunięcia swoich danych. Jeżeli tylko osoba wyrazi taką chęć, administrator danych ma obowiązek bezzwłocznie dostosować się do takiej prośby.
Aby wniosek o usunięcie danych był ważny, musi zostać potwierdzona tożsamość podmiotu zarządzającego danymi oraz administrator powinien móc udowodnić, na jakiej podstawie zamierza dokonać usunięcia danych. Przepisy nie konkretyzują, w jakiej formie powinien zostać złożony wniosek o usunięcie, jednak zalecane jest, aby odbyło się to w taki sposób, by można było ustalić tożsamość wnioskodawcy.
Nie we wszystkich sytuacjach możliwe jest usunięcie danych. Art. 17 ust. RODO wskazuje działania, w których administrator może odmówić usunięcia danych:
- „do korzystania z prawa do wolności wypowiedzi i informacji;
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego (…)
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
- do ustalenia, dochodzenia lub obrony roszczeń.”
Ustawa przewiduje również możliwość usunięcia danych jedynie częściowo. Administrator po otrzymaniu wniosku o usunięcie musi dokonać weryfikacji danych, aby móc ocenić, które dane podlegają usunięciu, a w których nie można tego zastosować.
W momencie, gdy dane zostały upublicznione w Internecie, podmiot zarządzający danymi musi podjąć rozsądne działania, które zagwarantuje całkowite usunięcie informacji. Wskazuje to art. 17 ust. 2 RODO:
„ Jeżeli administrator upublicznił dane osobowe, a ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Jeżeli administrator upublicznił dane osobowe, a ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.”
- Czy informacja o wynagrodzeniu pracownika jest poufna? - 18 maja 2018
- Geolokalizacja, a ochrona danych osobowych - 16 maja 2018
- RODO w praktyce: Zasada rozliczalności - 9 maja 2018