Warszawa, 26.03.2019 r.
Informacja prasowa
Prawo do bycia zapomnianym w założeniu ma zagwarantować obywatelom Unii Europejskiej możliwość kontroli własnych informacji poprzez usunięcie danych osobowych przez administratora danych. Niestety rodzi ono również pewne wątpliwości. Wszystko zaczęło się od głośnej sprawy związanej z Google (Google Spain SL i Google Inc.) przeciwko Agencia Española de Protección de Datos (AEPD) i Mariowi Costesze Gonzálezowi C-131/12) w zakresie konieczności usunięcia danych użytkownika z wyświetlających się wyników wyszukiwania. Tym samym Trybunał Sprawiedliwości Unii Europejskiej uznał, że prawo do bycia zapomnianym ma swoje oparcie w art. 7 i 8 Karty Praw Podstawowych. Obecnie duże poruszenie wywołuje opinia wydana przez rzecznika generalnego Macieja Szpunara w sprawie dotyczącej prawa do bycia zapomnianym w wyszukiwarce internetowej Google (sprawa nr C-507/17). Wedle jego oceny nie ma przesłanek stosowania szerokiej wykładni unijnych przepisów, która w konsekwencji wywierałaby skutki poza granicami 28 państw członkowskich. Zatem w przypadku złożenia wniosku o usunięcie danych osobowych istnieje ryzyko, że administrator faktycznie usunie wszelkie ślady po osobie, ale wyłącznie na terenie Unii Europejskiej. Wciąż dostępne są one jednak dla internautów spoza jej granic. Sama idea prawa do bycia zapomnianym wydaje się więc słuszna. Jak wygląda zatem w praktyce? Kiedy będziemy mogli skutecznie usunąć swoje dane? W jakich sytuacjach będziemy zmuszeni pogodzić się z tym, że ślad po nich zostanie? Tłumaczy ekspert z ODO 24.
Czym jest prawo do bycia zapomnianym?
Prawo do usunięcia danych zostało opisane w art. 17 RODO. Prawo to oznacza, że dane osób, które chcą zostać „zapomniane” muszą być zlikwidowane w całości z bazy administratora. Administrator zobowiązany jest usunąć te dane osobowe bez zbędnej zwłoki, lecz realizacja tego prawa nie zawsze będzie możliwa z powodu wprowadzenia w RODO wielu włączeń np. usunięcie danych osobowych nie będzie możliwe w sytuacji przetwarzania danych osobowych przez administratora w celu realizacji umowy (art. 6 ust. 1 lit. b RODO), która nadal trwa. Przy czym warto podkreślić, że jeżeli informacje zostały opublikowane w sieci, to ich administrator musi upewnić się, że linki do tych danych również zostały skasowane, podobnie jak ich kopie i repliki. Co więcej, zlikwidowane muszą zostać również wtedy, gdy są w posiadaniu innych podmiotów przetwarzających te dane w imieniu administratora.
Warto zapamiętać, że jeżeli chcemy zostać zapomniani to nie wystarczy, że administrator dezaktywuje lub ukryje nasze konto czy profil w mediach społecznościowych. Dane osobowe powinny zostać w całości usunięte. Najpewniej doniosłe znaczenie dla stosowania „prawa do bycia zapominamy” będzie miało orzeczenie w sprawie dotyczącej Google (C-507/17), w której obywatel francuski złożył skargę do francuskiego organu ochrony danych w zakresie usunięcia z wyników wyświetlanych w wyszukiwarce internetowej dotyczących go informacji. Chociaż sprawa odnosi się do stanu prawnego obowiązującego przed wejściem w życie RODO, to wyrok Trybunału Sprawiedliwości będzie rezonował przez kolejne lata – mówi Bartłomiej Muzaj, specjalista ds. ochrony danych w ODO 24. Nie możemy czuć się bezkarni w internecie. Przykładem mogą być kontrowersyjne wypowiedzi. Jeżeli ich pozostawienie leży w interesie publicznym, zlikwidowanie ich może być niemożliwe. Usunięcie nie będzie możliwe w stosunku do wcześniej upublicznionych danych, jeśli naruszałoby to prawo innych osób do korzystania z wolności wypowiedzi lub prawa do informacji np. nie ma możliwości ingerowania w treść archiwalnych wydań gazet. Podobnie organy podatkowe mogą przetwarzać nasze dane finansowe przez 5 lat od zamknięcia roku podatkowego – dodaje.
A jak to jest poza Unią Europejską?
RODO zostało uchwalone, w celu gwarancji ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz ich swobodnego przepływ. Rozporządzenie stanowi, że osoba fizyczna ma prawo żądania od administratora „niezwłocznego usunięcia dotyczących jej danych osobowych” chyba, że zachodzi jedna z okoliczności wyłączających zastosowania prawa opisanego w art. 17 RODO. Jednak wykładnia i zastosowanie przepisów przez kraje członkowskie może prezentować się w różny sposób. Nierzadko może się okazać, że nie będziemy mieli możliwości bycia całkowicie zapomnianym.
Sporna sprawa pomiędzy osobą fizyczną a przedsiębiorstwem Google odnośnie żądania zlikwidowania z listy wyników wyświetlanych w następstwie wyszukiwania jej imienia i nazwiska pokazuje, że interpretacja tego prawa nie jest prosta. Google zaproponował jako rozwiązanie usunięcie linków jedynie z wyników wyświetlanych jako odpowiedź na wyszukiwania prowadzone z domen krajów Unii oraz tzw. „geo-blokowania” tj. zablokowanie dostępu do danych treści w zakresie państw, gdzie przysługuje prawo do zapomnienia. Rzecznik generalny Trybunału Sprawiedliwości UE podkreślił, że RODO nie reguluje wyraźnie kwestii zakresu terytorialnego prawa do usunięcia linków, choć należy pamiętać, że Trybunał Sprawiedliwości nie jest związany opinią rzecznika generalnego – wyjaśnia Bartłomiej Muzaj, specjalista ds. ochrony danych w ODO 24. RODO w art. 3 ust. 2 wskazuje sytuację, w której ochronie podlega nie tylko obywatel państwa członkowskiego, ale także inne osoby przebywające w Unii, jeśli administrator lub podmiot przetwarzający oferuje towary i usługi oraz monitoruje zachowania (o ile dochodzi do nich w UE) – dodaje.
ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.