Geneza prawa do bycia zapomnianym

Sformułowane w treści art. 17 RODO „prawo do usunięcia danych” swoje źródło upatruje w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej, które odegrało zasadniczą rolę w jego tworzeniu. Kompetencje Trybunału określone w art. 19 Traktatu o Unii Europejskiej dały Trybunałowi możliwość twórczej interpretacji prawa unijnego. Dzięki temu sędziowie luksemburscy zastosowali wykładnię postanowień dyrektywy 95/46/WE, na podstawie której przyznano obywatelom Unii prawo do bycia zapomnianym w Internecie oraz zobowiązano operatorów wyszukiwarek internetowych, jako administratorów danych, do przestrzegania tego prawa. W konsekwencji, na mocy orzeczenia wydanego przez Trybunał Sprawiedliwości Unii Europejskiej (sprawa C-131/12 Google Spain SL i Google Inc. Przeciwko Agencia de Protección de Datos (AEPD) i Mariowi Costesze Gonzálezowi) z 13.5.2014 r., wprowadzone zostało „prawo do bycia zapomnianym”. Pozwala ono osobom fizycznym żądać od wyszukiwarek, takich jak np. Google, usunięcia określonych wyników wyszukiwania, które powiązane są z ich imieniem i nazwiskiem. Jednak, należy wziąć pod uwagę czy informacje, których dotyczy żądanie są „niedokładne, nieadekwatne, nieistotne lub przesadzone” oraz czy pozostawienie ich w wynikach wyszukiwania leży w interesie publicznym.

Podkreślano, że wobec dynamicznego rozwoju nowych technologii i związanych z nim zagrożeń w zakresie ochrony danych osobowych nie jest ono dostosowane do obecnych realiów, a przede wszystkim do współczesnej konstrukcji Internetu. Konieczne było więc wprowadzenie nowego uregulowania, uwzględniającego w jak najszerszym zakresie prawa osób, których dane dotyczą. W 2018 r. Unia Europejska przyjęła RODO. W art. 17 RODO określono „prawo do usunięcia danych”, które jest podobne do prawa uznanego przez Trybunał Sprawiedliwości we wcześniejszych, zastąpionych przez RODO przepisach. Opisane szczegółowo w art. 17 RODO uprawnienie wskazuje, że osoba, której dane dotyczą, ma prawo wystąpić do administratora z żądaniem niezwłocznego usunięcia dotyczących jej danych.

Kup Legalisa Księgowość Kadry Biznes online i uzyskaj natychmiastowy dostęp! Sprawdź

Uprawnienia i ograniczenia w realizacji prawa do bycia zapomnianym

Uwzględniając treść art. 17 RODO, w praktyce mamy do czynienia z dwoma uprawnieniami, które realizować będzie osoba, której dane dotyczą, a które definiować będą treść prawa do bycia zapomnianym. Pierwszym z nich jest żądanie „niezwłocznego usunięcia dotyczących jej danych osobowych” (art. 17 ust. 1 RODO), drugim zaś w razie upublicznienia jej danych przez administratora żądanie, aby obok ich usunięcia – biorąc pod uwagę dostępną technologię i koszt realizacji – podjął rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że uprawniony zasadnie żąda, by usunęli oni wszelkie łącza do tych danych, ich kopie lub replikacje (art. 17 ust. 2 RODO). Administrator musi usunąć dane w przypadku, gdy:

  • nie są one już niezbędne do celów, w których zostały zebrane,
  • osoba, której dane dotyczą cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej,
  • dane osobowe były przetwarzane niezgodnie z prawem,
  • dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE albo prawie państwa członkowskiego, któremu podlega administrator,
  • dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o którym mowa w art. 8 ust. 1 RODO.

Mając na uwadze powyższe, należy uznać, że prawo do bycia zapomnianym zależy od ściśle określonych w treści rozporządzenia przesłanek zarówno przedmiotowych, jak i podmiotowych. O ile zakres przedmiotowy nie budzi większych wątpliwości, o tyle zakres podmiotowy, można powiedzieć, został znacznie ograniczony. W świetle art. 17 RODO podmiotami uprawnionymi do żądania usunięcia danych są osoby, których dane dotyczą. Wyjaśnienie tego zwrotu wymaga odwołania się do terminologii zawartej w art. 4 pkt 1 rozporządzenia, zgodnie z którą dane osobowe oznaczają „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Zatem prawo do bycia zapomnianym przysługuje wyłącznie osobie fizycznej. Pozwala to na przyjęcie wniosku, że ani firmy, ani też inne osoby prawne zazwyczaj nie mają prawa do usunięcia treści z wyników wyszukiwania zawierających nazwę firmy. Dodatkowo, warto również nadmienić, ze większość żądań pochodzi bezpośrednio od osób, których dotyczą. Istnieje możliwość zażądania usunięcia treści w imieniu innej osoby, o ile zostanie potwierdzone, że istnieje do tego prawo.

Powyższe ograniczenie podmiotowe nie jest jedyne. Korzystanie z niniejszego prawa jest obostrzone zasadą lex retro non agit – prawo nie działa wstecz. Znaczy to tyle, że jeżeli osoba, której dane dotyczą, domagać się będzie usunięcia informacji, to takie żądanie ma skutek prawny dopiero z momentem złożenia przez nią oświadczenia woli o danej treści. Nie ma sankcji prawnej za wcześniejsze posługiwanie się danymi osobowymi, pod warunkiem, że wcześniej było ono legalnym działaniem administratora.

Działania administratora

W doktrynie prezentowany jest pogląd, zgodnie z którym skuteczne usunięcie danych udostępnionych w sieci jest niemożliwe. Częstokroć dane pozostają w obiegu cyfrowym dłużej niż funkcjonuje podmiot je udostępniający. Unijny prawodawca ma tego świadomość. Dlatego formułując analizowany przepis, nie wprowadził wymogu skutecznego usunięcia wszystkich danych („absolutnego zapomnienia”), albowiem byłoby to niemożliwe lub nad wyraz skomplikowane, pracochłonne i kosztowne. Administrator, który jest odpowiedzialny za właściwą realizację tego prawa, byłby zmuszony do podejmowania nadmiernych i nieproporcjonalnych wysiłków zmierzających do realizacji praw osób, których dane dotyczą. Ustawodawca unijny wymaga więc podjęcia przez niego „rozsądnych działań” z uwzględnieniem środków technicznych, technologii i kosztów realizacji. Warto zauważyć, że zwrot „rozsądne działania” jest niedookreślony. A zatem dokonując jego interpretacji należy wziąć pod uwagę przede wszystkim rodzaj danych oraz zakres i cele ich przetwarzania, jak również skalę na jaką następuje przetwarzanie oraz status osoby, której dane dotyczą.

Mając powyższe na względzie, należy uznać, że usankcjonowane prawo do bycia zapomnianym w kontekście jego realizacji przez operatorów wyszukiwarek internetowych nie gwarantuje osobie, której dane dotyczą, całkowitego usunięcia linków z listy wyszukiwania, to jednak wyłącza możliwość dotarcia do informacji na temat danej osoby przy użyciu imienia i nazwiska jako kryterium wyszukiwania, o ile ma zastosowanie do wszystkich wersji wyszukiwarki internetowej. Administrator, który upublicznił dane osobowe, a na mocy wspomnianego wyżej przepisu ma obowiązek usunąć dane osobowe, powinien być zobligowany do poinformowania innych administratorów, którzy przetwarzają te dane, do usunięcia linków, kopii i odniesień do tych danych osobowych (ust. 2). Stąd administrator powinien usunąć dane ze wszystkich miejsc, np. z serwera, poczty, plików tekstowych, arkuszy kalkulacyjnych, dysków zewnętrznych, przenośnych czy nawet papierowych kopii. Samo bowiem przechowywanie przez administratora danych nadal będzie kwalifikowane jako przetwarzanie tych danych.

Wyjątki w możliwości zastosowania prawa do bycia zapomnianym

Co do zasady, jak wskazano powyżej, administrator powinien usunąć dane osobowe, jak tylko otrzyma takie żądanie podmiotu. Istnieją jednak pewne wyjątki – kategorie spraw, opisane w RODO, co do których prawo to nie znajduje zastosowania:

  • prawo do wolności wypowiedzi i informacji;
  • wywiązanie się z obowiązku prawnego wymagającego przetwarzania lub wykonywania zadań realizowanych w interesie publicznym lub w ramach władzy publicznej powierzonej administratorowi (źródłem tego obowiązku może być prawo Unii Europejskiej lub państwa członkowskiego, któremu podlega administrator);
  • interes publiczny w dziedzinie zdrowia publicznego, cele archiwalne w interesie publicznym, cele dotyczące badań naukowych lub cele statystyczne;
  • ustalenie, dochodzenie lub obronę roszczeń.

Podsumowanie

Regulacja prawa do bycia zapomnianym zawarta w art. 17 RODO wciąż budzi wątpliwości. Ustawodawca unijny formułując poszczególne przepisy nie przewidział i nie wyznaczył procedur usuwania danych, czy też informowania podmiotów trzecich o skorzystaniu przez podmiot uprawniony z żądania do bycia zapomnianym. Samo zobowiązanie administratora do usunięcia danych nie jest w tej kwestii wystarczające.

Reasumując, niezaprzeczalnie prawo do bycia zapomnianym znajdziemy w kanonie praw osobistych. Nie oznacza to jednak, że jest to prawo niepodważalne. Umożliwia ono skuteczniejszą ochronę danych osobowych, albowiem podkreśla znaczenie prawa do prywatności jako dobra osobistego przysługującego każdemu człowiekowi. Na mocy RODO dobra osobiste, takie jak imię, nazwisko, pseudonim czy wizerunek uzyskały dodatkową ochronę prawną.

Ochrona danych osobowych – aktualna lista szkoleń Sprawdź