25 maja 2018 roku wchodzi w życie rozporządzenie ogólne o ochronie danych osobowych – RODO. Tego dnia właściciele danych osobowych zyskają nowe uprawnienia, które będą musieli respektować administratorzy danych osobowych. O tym co zmienia RODO mogą Państwo przeczytać w artykule RODO – najistotniejsze zmiany.
Po wejściu przepisów w życie obywatele uzyskają wreszcie prawo do bycia zapomnianym. W chwili obecnej z prawa do bycia zapomnianym mogą korzystać osoby, których dane figurują w wyszukiwarkach internetowych. Ich dane już mogą zostać usunięte na żądanie, a o przysługującym im prawie orzekł Trybunał Sprawiedliwości Unii Europejskiej.
Prawo do bycia zapomnianym polega na tym, że osoba, której dane osobowe są przetwarzane przez jakąś organizację, może zwrócić się do niej z prośbą o zaprzestanie ich wykorzystywania. Organizacja ta musi wtedy zadbać o usunięcie wszystkich danych tejże osoby, również tych, które zostały przekazane dalej innemu administratorowi.
Z prawa do bycia zapomnianym będzie mógł skorzystać każdy, kto nie chce, aby jego dane były przetwarzane bez jego woli. Główny Inspektor Danych Osobowych utrzymuje, że „narzędzie to ma chronić prywatność osób, niekoniecznie umożliwiać usuwanie informacji z przeszłości albo ograniczanie wolności prasy”. A to oznacza, że po naszej interwencji powinny skończyć się niechciane telefony od firm handlowych czy maile ze spamem. Są jednak pewne wyjątki.
Prawo do bycia zapomnianym jest uprawnieniem podmiotu, którego dane są przetwarzane. Ale nie w każdej sytuacji, jeżeli zgłosi on roszczenie, administrator przetwarzający jego dane musi to zrealizować. Dzieje się tak chociażby wówczas, kiedy administrator ma inną podstawę, na której się opierając, może te dane przetwarzać. Na przykład w przypadku banków zgoda na przetwarzanie danych osobowych opiera się na ustawie.
Kiedy powstaje – na podstawie „prawa do bycia zapomnianym” – obowiązek usunięcia danych:
- dane osobowe nie są już niezbędne do celów, do których je zebrano;
- podmiot danych wycofał zgodę i nie istnieje inna podstawa prawna dla przetwarzania tych danych;
- podmiot danych wniósł sprzeciw do dalszego przetwarzania i nie występują nadrzędne, prawnie uzasadnione podstawy przetwarzania;
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą być usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w unijnym bądź krajowym przepisie prawnym (np. przepisach dotyczących niszczenia dokumentacji medycznej);
- dane zostały zebrane w celu świadczenia usług internetowych dziecku.
Administrator musi zapewnić odpowiednie techniczne i organizacyjne środki pozwalające na całkowite usunięcie danych osoby, która korzysta z prawa do bycia zapomnianym. Należy usunąć dane ze wszystkich miejsc, czyli z m.in.: serwera, poczty, plików Word i Excel, dysków zewnętrznych i przenośnych, ale również z papierowych kopii.
Na czym będzie polegało nowe prawo do przenoszalności danych i co jeszcze się zmieni po wejściu w życie RODO? Zapraszamy do lektury naszych kolejnych artykułów.
