W tym miesiącu wciąż kontynuujemy serię dotyczącą praw podmiotów danych, która rozpoczęta została grudniowym artykułem, w którym przybliżony został art. 12 RODO, zawierający ogólne zasady przejrzystej komunikacji oraz opis trybu wykonywania tych praw. Niniejsza publikacja poświęcona została uprawnieniu żądania usunięcia danych, które bywa zamiennie nazywane prawem do bycia zapomnianym. Czy są to tożsame pojęcia? Odpowiedź na to pytanie można znaleźć w dalszej części artykułu.
Po lekturze artykułu czytelnik dowie się:
Jakie uprawnienia reguluje art. 17 RODO?
Prawo będące przedmiotem niniejszych rozważań ma swoje źródło w art. 17 RODO. Sam tytuł komentowanego przepisu jest niestandardowy i brzmi: „Prawo do usunięcia danych (>>prawo do bycia zapomnianym<<)”. Może on wskazywać, iż mamy do czynienia z jednym uprawnieniem o dwóch nazwach. Uzasadnia to w szczególności odniesienie do prawa do usunięcia danych przed nawiasem i do prawa do bycia zapomnianym w nawiasie. Zdaniem dr Edyty Bielak-Jomma (wyrażonym w publikacji: M. Czerniawski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 17) art. 17 RODO reguluje dwa rozdzielne uprawnienia: do żądania usunięcia danych (art. 17 ust. 1 RODO) oraz do żądania bycia zapomnianym (art. 17 ust. 2). Pierwsze z nich ma charakter podstawowy. Bowiem prawo do bycia zapomnianym ma zastosowanie przy zażądaniu usunięcia danych tylko w sytuacji, gdy administrator wcześniej upublicznił dane.
Jaka jest istota prawa do usunięcia danych?
Źródłem prawa do usunięcia danych jest art. 17 ust. 1 RODO. Przepis ten umożliwia osobie, której dane dotyczą wystąpienie z żądaniem usunięcia jej danych. To z kolei nakłada na administratora obowiązek niezwłocznego wypełnienia tego żądania, o ile zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
Powyższa przesłanka jest przejawem dążenia do realizacji zasady ograniczenia celu oraz zasady ograniczenia przechowywania danych. Zrealizowanie celów, wobec których dane były przetwarzane powinno skutkować zakończeniem przetwarzania danych. Jeżeli administrator mimo zrealizowania celów wciąż przechowuje dane osobowe, podmiot danych może wystąpić z żądaniem ich usunięcia.
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
Kolejna przesłanka dotyczy wycofania zgody na przetwarzanie danych osobowych w sytuacji, gdy administrator nie ma innej podstawy do przetwarzania danych. Wycofanie zgody powinno spowodować zaprzestanie przetwarzania i usunięcie przez administratora danych w zakresie, w jakim przetwarzanie opierało się na zgodzie. Jeśli administrator sam tego nie zrobi i podmiot danych się o tym dowie, będzie mógł zażądać usunięcia danych.
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
Powyższa przesłanka związana jest z wniesieniem sprzeciwu wobec przetwarzania danych przez osobę, której dane dotyczą. Sprzeciw jest kolejnym uprawnieniem, które już niebawem zostanie opisane w kolejnym artykule. Z przesłanki tej – podobnie jak z wcześniejszych – wynika, że konsekwencją utraty przez administratora podstawy przetwarzania danych powinno być ich usunięcie. A w przypadku braku rzetelności administratora, podmiot danych swoim żądaniem może zmobilizować go do całkowitego zaprzestania przetwarzania. Należy pamiętać, że samo przechowywanie danych osobowych również jest ich przetwarzaniem (zgodnie z definicją zawartą w art. 4 pkt 2 RODO) i nie powinno być kontynuowane bez podstawy prawnej.
d) dane osobowe były przetwarzane niezgodnie z prawem;
Na postawie tej przesłanki osoba, której dane dotyczą, może żądać usunięcia danych, jeżeli stwierdzi, że administrator przetwarza je w sposób niezgodny z prawem. Niezgodność z prawem oznacza brak jakiejkolwiek przesłanki przetwarzania danych z wymienionych w art. 6 RODO, którą administrator mógłby przypisać do realizowanego przez siebie celu. Jeżeli podmiot danych kwestionuje legalność przetwarzania danych, na administratorze ciąży obowiązek wykazania działania w sposób zgodny z prawem. W tym celu musi wskazać przepis prawa, który upoważnia go do przetwarzania. Jeśli nie jest w stanie, powinien dane usunąć.
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
Na podstawie tej przesłanki osoba, której dane dotyczą, może żądać od administratora usunięcia danych, jeżeli jest to wymóg przepisu prawa. Mowa tu o takiej powinności, która została przewidziana w prawie UE lub państwa członkowskiego. W celu skorzystania z tej przesłanki należy wskazać przepis szczególny, z którego wynika obowiązek usunięcia danych.
Takim przepisem może być przykładowo art. 222 § 3 kodeksu pracy, który nakazuje usunięcie nagrań z monitoringu po upływie 3 miesięcy.
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1
Ostatnia z przesłanek dotyczy oferowania usług społeczeństwa informacyjnego osobom niepełnoletnim. Zgodnie z definicją zawartą w art. 4 pkt 25 RODO są to usługi, które świadczone są zazwyczaj za wynagrodzeniem, na odległość, drogą elektroniczną oraz na indywidualne żądanie odbiorcy tej usługi. Przytoczony art. 8 ust. 1 RODO dotyczy warunków wyrażenia zgody przez dziecko lub opiekuna prawnego.
Powyższy katalog ma charakter zamknięty. Jednak ze względu na zawarcie dość ogólnych sformułowań jest on w praktyce niezwykle obszerny.
Jeżeli mimo wystąpienia powyższych przesłanek administrator nie usunął danych, osoba, której one dotyczą może zwrócić się do organu nadzorczego ze skargą i wnioskiem o nakazanie realizacji tego żądania. Po otrzymaniu skargi Prezes UODO powinien rozpatrzeć dopuszczalność spełnienia żądania. W sytuacji uznania jej zasadności powinien wydać decyzję, którą nakaże administratorowi spełnić żądanie osoby (zgodnie z art. 58 ust. 2 lit. c).
Jaka jest istota prawa do bycia zapomnianym?
Prawo do bycia zapomnianym zostało uregulowane przez unijnego prawodawcę w art. 17 ust. 2 RODO. Uprawnienie to dotyczy sytuacji, w której administrator upublicznił dane osobowe osoby, której one dotyczą. W sytuacji otrzymania żądania usunięcia danych powinien – biorąc pod uwagę dostępną technologię i koszt realizacji – powiadomić o tym fakcie wszystkich odbiorców, którym ujawnił dane w zakresie objętym żądaniem. Informowanie odbiorców jest dokonywane w trybie art. 19 RODO.
W motywie (66) RODO wyjaśniono, że „Aby wzmocnić prawo do >>bycia zapomnianym<< w Internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji”. Jak słusznie stwierdził dr hab. Paweł Fajgielski „Takie stwierdzenie skłania do przyjęcia, że prawodawca unijny używa określenia >>prawo do bycia zapomnianym<< w szerszym znaczeniu, które nie jest ograniczone jedynie do informowania o żądaniu usunięcia danych (ust. 2), ale obejmuje nim przede wszystkim samo uprawnienie do żądania usunięcia danych (ust. 1)” (P. Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022).
Szczegółowy sposób realizacji prawa do bycia zapomnianym zostanie przedstawiony przy okazji naszej kolejnej publikacji (dotyczącej art. 19 RODO).
Kiedy prawo do usunięcia danych oraz bycia zapomnianym nie ma zastosowania?
W art. 17 ust. 3 RODO prawodawca unijny przedstawił sytuacje, w których prawo do usunięcia danych oraz bycia zapomnianym nie będą miały zastosowania. Oznacza to, że mimo wystąpienia przesłanek z ust. 1 (z wyjątkiem lit. e) względem celu pierwotnego, pojawia się cel wtórny, który uniemożliwia spełnienie żądania. Wyłączenia te zostały podzielone na pięć grup. Dotyczą one sytuacji, kiedy przetwarzanie danych jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
Komentowana przesłanka odnosi się do motywu (153) RODO, zgodnie z którym „Prawo państw członkowskich powinno godzić przepisy regulujące wolność wypowiedzi i informacji, w tym wypowiedzi dziennikarskiej, akademickiej, artystycznej lub literackiej, z prawem do ochrony danych osobowych (…) ”.
Zdaniem dr hab. Pawła Fajgielskiego „Chodzi tu przede wszystkim o zapobieżenie sytuacji, gdy żądanie usunięcia danych stanowiłoby ingerencję w wolność prasy i prowadziłoby do usuwania danych z archiwów prasowych, a także swoistej cenzury represyjnej dotyczącej opublikowanych danych osobowych” (P. Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022).
Wspomniana wolność prasy jest jednym z praw zagwarantowanych w konstytucji (art. 14). Sformułowanie „prasa” ma przede wszystkim zastosowanie do materiałów mających postać drukowaną. Definicja prasy nie odnosi się bezpośrednio do publikacji zamieszczonych w Internecie. Natomiast kwestia ta była już kilkakrotnie podnoszona przez orzecznictwo.
Sąd Najwyższy w wyroku z 24 czerwca 2014 r. (sygn. akt I CSK 532/14) stwierdził, że: „Pojęcie prasy obejmuje także publikacje rozpowszechniane za pomocą Internetu, jeżeli spełniają one wymagania określone w art. 7 ust. 2 ustawy z 1984 r. – Prawo prasowe. Dotyczy to nie tylko sytuacji, gdy internetowej publikacji towarzyszy publikacja tradycyjna, drukowana, stanowiąca inną, elektroniczną jej postać online, ale także przypadków, gdy istnieje tylko publikacja w formie elektronicznej, ale zachowuje cechy prasy: określoną periodyczność, nie tworzy zamkniętej, jednorodnej całości, ma stały tytuł (nazwę), kolejny numer i datę. Chodzi tu o regularnie rozpowszechniane za pomocą internetu biuletyny, serwisy i inne periodyki”.
Nieco inne stanowisko przyjął Sąd Najwyższy w wyroku z 28 października 2016 r. (sygn. akt I CSK 695/15): „Definicja prasy (…) ma charakter otwarty. Oceniając, czy nowe środki masowego przekazywania spełniają kryteria prasy (…) należy uwzględnić specyfikę danego środka. Ze względu bowiem na te cechy nie zawsze musi on spełniać wszystkie wymagania, jakie są niezbędne w odniesieniu do publikacji prasowych w formie drukowanej. (…) Zmiana treści strony internetowej następuje poprzez jej aktualizację. Techniczna możliwość, nawet wielokrotnej, zmiany treści strony internetowej poprzez jej aktualizację nie musi pozbawiać danej strony internetowej cechy periodyczności. W tym bowiem przypadku cechę periodyczności publikacji należy wiązać ze stałością działania, cyklicznością informowania odbiorców informacji, pod oznaczonym tytułem, nazwą, adresem czy linkiem, na stworzonej specjalnie w tym celu stronie internetowej. (…) Należy przychylić się do stanowiska, które periodyczność publikacji zamieszczanych w internecie wiąże z jej ciągłością, a nie regularnością okresów pomiędzy poszczególnymi publikacjami. Dopiero analiza częstotliwości aktualizacji na danym portalu internetowym pozwala na ocenę, czy publikacje na nim zamieszczane mają charakter periodyczny”.
W związku z tym publikacje zamieszczane na stronie internetowej mogą być prasą po spełnieniu wymieniony powyżej warunków. Natomiast, aby blog mógł być traktowany jako prasa (a więc korzystać z regulacji prawnych przypisanych prasie, w tym z komentowanego wyłączenia) należy uprzednio dokonać jego rejestracji jako tytułu prasowego.
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
Kolejne ograniczenie dotyczy dwóch sytuacji. Pierwszą z nich jest okoliczność, kiedy przetwarzanie danych jest niezbędne do wywiązania się z obowiązku prawnego, a więc sytuacja pojawienia się celu wtórnego innego niż cel pierwotny, dla którego dane zostały zebrane. Może to dotyczyć prowadzenia różnego rodzaju rejestrów. Przykładowo art. 109 ustawy z dnia 11 marca 2004 r. o podatku od towarów i usług zobowiązuje ADO prowadzących sprzedaż zwolnioną od podatku do prowadzenia ewidencji sprzedaży. W tej sytuacji podmiot danych może stwierdzić, że po zrealizowaniu zakupu ustał cel, dla którego dane zostały zebrane. Jednak administrator ma prawny obowiązek przetwarzać dane w celu prowadzenia wspomnianego rejestru.
Kolejną okolicznością jest wykonywanie przez administratora zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej mu powierzonej. Co ważne przesłanka ta nie dotyczy jedynie ADO z sektora publicznego, ale również podmioty prywatne realizujące zadania publiczne.
Jako przykład wyłączenia przewidzianego w lit. b można podać wyrok Trybunału Sprawiedliwości w sprawie C-398/15. Dotyczył on obywatela Włoch, który domagał się usunięcia z rejestru spółek informacji o pełnieniu przez niego funkcji zarządzającego i likwidatora jednej z organizacji. W orzeczeniu TSUE odrzucił możliwość usunięcia danych z uwagi na przeważający interes publiczny realizowany przez rejestry spółek. Dopuszczono jednak ograniczenie dostępu do jego danych osobom trzecim.
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
Powyższe wyłączenie dotyczy sytuacji przetwarzania danych szczególnej kategorii z uwagi na względy interesu publicznego realizowanego w dziedzinie zdrowia publicznego. Mowa tu o danych „ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby” (art. 9 ust. 1 RODO). Sytuacje przetwarzania danych w dziedzinie interesu publicznego reguluje art. 9 ust. 2 lit. g-j RODO. Dane te mogą być m.in. przetwarzane w zakresie niezbędnym do celów profilaktyki zdrowotnej, zapewnienia opieki zdrowotnej czy też celów profilaktyki zdrowotnej.
Jako przykład przetwarzania danych w dziedzinie zdrowia publicznego można podać sytuację przetwarzania danych szczególnej kategorii w związku z zapobieganiem rozprzestrzeniania się COVID-19. Wówczas przepisem szczególnym upoważaniających do przetwarzania tego typu danych był art. 8a ust. 5 pkt 1 lit. a ustawy z 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej.
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
Aby skorzystać z tego wyłączenia administrator musi uprawdopodobnić (czyli przedstawić twierdzenia przekonujące o słuszności jego racji), że usunięcie danych utrudni lub uniemożliwi mu realizację wyżej wskazanych celów. Co ważne ADO nie musi tego udowadniać, ponieważ wystarczy samo uprawdopodobnienie.
e) do ustalenia, dochodzenia lub obrony roszczeń.
Ostatnie wyłączenie dotyczy sytuacji, w której usunięcie danych mogłoby uniemożliwić administratorowi realizację uprawnień innych podmiotów, takich jak przykładowo wierzyciele. W tym przypadku podstawą przetwarzania danych będą prawnie uzasadnione interesy administratora (art. 6 ust. 1 lit. f). Przedmiotowe wyłączenie zdaje się przesądzać, że nie wystąpi sytuacja, w której „nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych”, o ile roszczenia się jeszcze nie przedawniły. Zatem w takim przypadku zarówno wniosek o usunięcie danych, jak i wniesienie sprzeciwu wobec przetwarzania danych w tym celu będą bezskuteczne.
Podsumowanie
Prawo do usunięcia danych i do bycia zapomnianym nie jest prawem bezwzględnym, co podkreśla Prezes UODO. Oznacza to, że nawet w przypadku spełnienia przesłanek z art. 17 ust. 1 RODO, administrator nie zawsze zrealizuje to uprawnienia. Realizacja tego prawa budzi wiele wątpliwości i jest źródłem licznych problemów z jego interpretacją. W praktyce dotyczy to przede wszystkim przesłanek usunięcia danych oraz ograniczeń tego uprawnienia, które są sformułowane w dość ogólny sposób. Z tego powodu administratorzy mają dość szeroki wachlarz możliwości wyłączenia realizacji tego uprawnienia podmiotu danych.
Osoby fizyczne dość chętnie korzystają z prawa do usunięcia danych. Już w pierwszym roku stosowania RODO największa ilość wniosków skierowanych do ADO dotyczyła właśnie uprawnienia z art. 17 RODO. Mimo licznych wniosków o usunięcie danych w praktyce realizacja tego uprawnienia nie jest już taka duża. Bardzo często wnioski nie mają żadnego uzasadnienia lub w rzeczywistości powinny być żądaniem związanym z innym uprawnieniem, czego konsekwencją może być ostatecznie usunięcie danych. Wiele żądań jest kierowanych do administratorów w sytuacji, gdy podmiot danych zapomniał o wyrażonej zgodzie i powinien ją po prostu wycofać lub wnieść sprzeciwu wobec przetwarzania w określonym celu opartym na prawnie uzasadnionym interesie. Dlatego też najwięcej przypadków skutecznego usunięcia danych dotyczy przetwarzania w celach marketingowych.