Ostatnimi czasy, bardzo często spotykam się z pytaniem co zrobić, gdy osoba fizyczna żąda „usunięcia jej danych osobowych na podstawie RODO”. Wątpliwości rodzą się zarówno po stronie stowarzyszeń, klubów, związków sportowych, jak i można na nie trafić śledząc media społecznościowe. W dniu dzisiejszym odniosę się do przepisów RODO[1] regulujących tę materię, które wskazują kiedy należy sprostać żądaniu osoby fizycznej, a kiedy można usunięcia jej danych odmówić.
Przesłanki, uprawniające do skorzystania z „prawa do bycia zapomnianym” znalazły się w art. 17 ust. 1 RODO.
Art. 17 RODO
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Administrator, o którym mowa w ust. 1 to oczywiście Administrator Danych Osobowych (ADO). Kryje się pod nim każda osoba fizyczna, prawna, organ publiczny lub inny podmiot, który samodzielnie ustala cele i sposoby przetwarzania danych osobowych. Nic nie stoi zatem na przeszkodzie, aby za ADO uznać podmiot funkcjonujący w środowisku sportowym, w przypadku gdy przetwarza w jakikolwiek sposób dane osobowe np. swoich członków, zawodników, pracowników lub kontrahentów. Tym samym, na takich podmiotach również ciąży obowiązek wypełniania dyspozycji zawartych w art. 17 RODO.
Jak można wyczytać z przytoczonego przepisu usunięcia danych można żądać jeżeli nie są już one niezbędne ADO, do celów w których zostały zebrane. W tym przypadku potrzebna jest każdorazowa interpretacja dotycząca zasady celowości. Może się bowiem okazać, że dane są dalej niezbędne ADO, pomimo iż w ocenie osoby fizycznej jest inaczej. Przykładowo dane mogą stać się zbędne z powodu wykonania umowy, niemniej mogą być w dalszym ciągu przydatne „na wypadek ewentualnych roszczeń” do czasu upływu przedawnienia.
Odnośnie drugiej przesłanki sytuacja wygląda podobnie. Trzeba usunąć dane jeżeli osoba wycofała zgodę na ich przetwarzanie, a nie ma innej podstawy prawnej dla dalszego przetwarzania. Podstawa wymieniona w lit. c) dotyczy prawa do sprzeciwu określonego w art. 21 RODO. Z uwagi na rozległość tej materii nadmienię jedynie, że Administrator ma obowiązek usunięcia danych osoby, która wniesie skutecznie sprzeciw względem przetwarzania danych. Można tego dokonać, gdy osoba pozostaje w „szczególnej sytuacji” związanej z przetwarzaniem danych, a ADO nie wykaże istnienie ważnych, prawnie uzasadnionych podstaw do dalszego przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby lub podstaw do ustalenia, dochodzenia lub obrony swoich roszczeń.
Punkty d) oraz e) są dość czytelne, dlatego zatrzymam się przy ostatnim podpunkcie. Usunięcia danych osobowych można żądać jeśli zostały zebrane w związku z usługą świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną, na żądanie odbiorcy usługi oraz owym odbiorcą było bezpośrednio dziecko. Co ważne, aby skorzystać z omawianego uprawnienia, wszystkie wyszczególnione elementy muszą wystąpić łącznie.
Powyżej znalazły się podstawy, w których osoba fizyczna ma prawo domagać się usunięcia jej danych. Należy zatem każdorazowo po otrzymaniu takiego żądania zweryfikować, czy przytoczone dotychczas okoliczności występują w konkretnym wypadku. Jeżeli tak, należy postąpić zgodnie z żądaniem. Nie można jednak zapomnieć o wyjątkach przewidzianych w art. 17 ust. 3 RODO.
- Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
e) do ustalenia, dochodzenia lub obrony roszczeń.
W momencie usiłowania odmowy usunięcia danych na podstawie wyjątku z lit a), ADO powinien nie tylko rozważyć przeciwstawne interesy (swoje i osoby fizycznej), lecz także szczegółowo uzasadnić swoje stanowisko.[2] Dodatkowo, jak można zaobserwować, ustawodawca unijny w konfrontacji uprawnień osoby fizycznej do bycia zapomnianym z obowiązkami nałożonymi przez prawo wspólnotowe lub krajowe, przyznał wyższość tym drugim. Tym samym, w momencie gdy ADO podlega pod obowiązek prawny obligujący do przetwarzania określonych danych osobowych, nie musi realizować żądania osoby fizycznej obejmującego usunięcie takich danych (art. 17 ust. 3 lit. b) RODO).
Wyjątek określony w art. 17 ust. 3 lit c) RODO należy traktować jako wyjątek „branżowy”, znajdujący zastosowanie do sektora medycznego oraz farmaceutycznego.[3] Z kolei wymieniony pod lit. d) oznacza, że ADO może się powołać na ten wyjątek, jeśli przetwarzanie jest zgodne z warunkami art. 89 RODO, a jednocześnie wykonywanie prawa do bycia zapomnianym uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania. Wspomniane wyżej warunki polegają głównie na wdrożeniu środków technicznych i organizacyjnych zapewniających poszanowanie zasady minimalizacji danych.
Ostatni wyjątek aktualizuje się przeważnie gdy pomiędzy ADO, a osobą fizyczną występują zależności, które mogą być źródłem roszczeń przysługujących ADO. W takiej sytuacji dane mogą być przetwarzane do końca okresu umożliwiającego egzekwowanie przez ADO swoich praw.
Podsumowując, warto raz jeszcze uwypuklić, że osobom fizycznym przysługuje na podstawie RODO prawo do żądania usunięcia przez administratora, dotyczących ich danych osobowych. Uprawnienie to musi być respektowane w momencie, gdy zachodzą przewidziane w art. 17 ust. 1 okoliczności. Jednakże zarówno osoby fizyczne, jak i administratorzy powinni być świadomi wyjątków wymienionych w art. 17 ust. 3, które mogą wyłączyć konieczność zadośćuczynienia przedmiotowemu żądaniu.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
[2] RODO. Przewodnik ze wzorami (red. M Gawroński), s. 208, Warszawa 2018
[3] tamże