Internet nie zapomina! W internecie nic nie ginie! Ale czy na pewno? Może jeszcze do niedawna było to prawdą, jednak od 25 maja 2018 r. wiele się zmieni. Wszystko za sprawą RODO (GDPR), a konkretnie prawa do bycia zapomnianym. Czy to znaczy, że będziesz mógł usunąć informacje o sobie, tak po prostu, by internet rzeczywiście o Tobie zapomniał? Co istotne, nie tylko internet.
Początki prawa do bycia zapomnianym
Pamiętasz 13 maja 2014 roku, a konkretnie sprawę “Google Spain i Inc przeciwko Agencia Española De Protección De Datos (Aepd) i Mario Costeja Gonzáles”? Wtedy to Trybunał Sprawiedliwości Unii Europejskiej przyznał internaucie prawo do usunięcia danych osobowych z wyników wyszukiwania. Uznał, że to jak działają wyszukiwarki internetowe, może być zakwalifikowane jako przetwarzanie danych. Tym samym potwierdził istnienie prawa do bycia zapomnianym, które na gruncie ponad 20-letniej Dyrektywy 95/46/WE nie zostało wprost wyrażone.
Jak jest teraz?
Wyrok we wspomnianej wyżej sprawie doprowadził do szeregu zgłoszeń, w których internauci domagali się usunięcia informacji o sobie z wyników wyszukiwania. W pierwszym roku po decyzji Trybunału Sprawiedliwości UE, w naszym kraju, wpłynęło 7 tys. wezwań do usunięcia ok. 23 tys. linków z Google. 38% z nich rozpatrzono pozytywnie. Zgłoszenia dotyczyły głównie takich stron jak Facebook, Twitter, YouTube, Badoo. Nie było zatem tak źle, poza jednym – prawo do bycia zapomnianym regulowała już mocno nieaktualna Dyrektywa.
Rozporządzenie a Dyrektywa 95/46/WE
Wspomniana wyżej Dyrektywa 95/46/WE z dnia 24 października 1995 regulująca kwestie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu danych liczy sobie przeszło 20 lat. To oczywiste, że nie uwzględnia nowoczesnych technik przetwarzania danych osobowych, takich jak np. transgraniczny przepływ danych czy kwestie chmury obliczeniowej. Stąd konieczność zmian, których efektem jest mocny nacisk RODO (GDPR) na kwestię przechowywania danych osobowych.
Kto i kiedy może skorzystać z prawa do bycia zapomnianym?
Zgodnie z RODO (art. 17 ust.1), każdy, kto sobie tego zażyczy, otrzyma prawo do usunięcia w całości swoich danych z systemów administratora. Pod pojęciem danych rozumie się również kopie, linki, odniesienia oraz całą dokumentację papierową. Co istotne, administrator, wypełniając swój obowiązek, musi zadbać, by wszystkie kopie zostały usunięte na dobre, nawet w sytuacji, gdy są w posiadaniu innych podmiotów.
Istnieje jednak kilka warunków, które muszą być spełnione, by skorzystać z prawa do bycia zapomnianym.
Warunki do spełnienia by skorzystać z prawa do bycia zapomnianym
By skorzystać z prawa do bycia zapomnianym, według art. 17 ust. 1 Rozporządzenia, wystarczy, że spełniony będzie jeden z poniższych warunków:
- Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.
- Osoba cofnęła zgodę, na której opiera się przetwarzanie i nie istnieje podstawa prawna, by nadal przetwarzać dane.
- Osoba wnosi sprzeciw na mocy art. 21 ust. 1 oraz nie istnieją uzasadnione prawnie podstawy przetwarzania lub osoba przeciwstawia się przetwarzaniu danych w zakresie marketingu bezpośredniego.
- Dane osobowe były przetwarzane niezgodnie z prawem.
- Dane osobowe zostały zebrane przy okazji usług społeczeństwa informacyjnego (e-handel, social media) osobom poniżej 16 lat (w Polsce planuje się ustalić granicę na 13 lat).
Kto i kiedy NIE może skorzystać z prawa do bycia zapomnianym?
Jeśli myślisz, że administrator zadba o usunięcie danych osobowych w odpowiedzi na każde żądanie, to jesteś w błędzie. RODO (GDPR) przewiduje warunki, kiedy nie będzie możliwości, by skorzystać z prawa do bycia zapomnianym. Dotyczy to sytuacji, w których przetwarzanie danych jest niezbędne:
- by skorzystać z prawa do wolności wypowiedzi i informacji,
- by wywiązać się z prawnego obowiązku wymagającego przetwarzania na mocy prawa UE lub prawa państwa członkowskiego, lub do wykonania zadania realizowanego w interesie publicznych czy ramach sprawowania władzy publicznego,
- z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,
- do celów archiwalnych w interesie publicznym, celów badań naukowych lub historycznych lub celów statystycznych, gdy prawo do usunięcia danych uniemożliwi lub utrudni realizację takiego celu,
- do ustalenia, dochodzenia lub obrony roszczeń.
Wyraziłem zgodę jako dziecko. Czy dzisiaj mogę coś z tym zrobić?
Prawo do bycia zapomnianym ma szczególne znaczenie wśród osób, które jako dziecko wyraziły zgodę, nie będąc w pełni świadomym podejmowanych decyzji, a teraz, będąc dorosłym, chcą dane osobowe usunąć.
Wraz z RODO zmieni się również sposób uzyskania zgody na przetwarzanie danych osobowych u dzieci, które ukończyły 16 lat. Od 25 maja 2018 r., w przypadku takich osób, nie będzie wymagana zgoda od rodzica lub opiekuna prawnego.
RODO a wolność wypowiedzi
Prawo do bycia zapomnianym to jeden z najistotniejszych elementów RODO. Od początku spotkało się ze zdecydowanym sprzeciwem przede wszystkim wśród podmiotów działających w internecie, które nieustannie wykorzystują dane osobowe w celach reklamowych. Przeciwnicy prawa do bycia zapomnianym uważają również, że kłóci się z wolnością wypowiedzi. Istnieje również podejrzenie, że będzie wykorzystywane jako sposób, na “wymazanie” przeszłości.
Co jeśli administrator nie usunie danych osobowych?
Mimo licznych sprzeciwów, Rozporządzenie z uwzględnieniem prawa do bycia zapomnianym zostało uchwalone i zacznie być stosowane 25 maja 2018 r. Podobnie jak przy okazji innych zapisów RODO, jeśli administratorzy nie dopasują firmy do prawa do bycia zapomnianym, muszą liczyć się z dotkliwymi karami – 20 mln euro lub 4% całkowitego rocznego obrotu światowego brutto. Przy czym należy pamiętać, że zastosowanie będzie miała wyższa kara. Więcej o karach za nieprzestrzeganie zapisów GDPR przeczytasz tutaj: RODO – stać Cię na płacenie kar?