Skip to content
cropped-logo-biel-min.png
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
    • Audyt danych osobowych, zgodności RODO
    • Analiza ryzyka
    • Dokumentacja ochrony danych osobowych
      • Dokumentacja RODO w placówkach medycznych
      • Dokumentacja RODO dla biur rachunkowych
    • RODO oferta dla firm
    • RODO w e-commerce
    • Naruszenie ochrony danych osobowych
  • Szkolenie RODO
  • Blog
    • Obowiązki administratora danych osobowych
    • Upoważnienie do przetwarzania danych osobowych
    • Ochrona danych osobowych firmy i informacji poufnych
    • Europejska Rada Ochrony Danych (EROD)
    • Zadania Inspektora ochrony danych
    • Jak prawidłowo wyznaczyć Inspektora ochrony danych?
    • Obowiązki administratora danych osobowych
    • Klauzula informacyjna
    • Zgoda na przetwarzanie danych osobowych w celach marketingowych
    • Przetwarzanie, wykorzystanie i rozpowszechnianie danych osobowych bez zgody
    • Praktyczne problemy z realizacją prawa do usunięcia danych osobowych
    • Dokumentacja pracownicza a RODO – o czym musimy pamiętać?
    • Ochrona danych osobowych pracownika w Internecie
    • Wyciek danych … i co dalej?
    • Co to jest DPIA?
    • Alert RODO – kara za nieumożliwienie przeprowadzenia kontroli
    • Kary za naruszenie RODO np. ujawnianie, czy udostępnianie danych osobowych
    • Praktyczne podejście do art. 32 Rozporządzenia RODO
    • Czym jest monitoring wizyjny?
    • Ochrona danych osobowych a kary RODO
    • Czym jest rejestr czynności przetwarzania danych osobowych?
  • Kontakt
    • SKONTAKTUJ SIĘ Z NAMI
LOGO-min
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
    • Audyt danych osobowych, zgodności RODO
    • Analiza ryzyka
    • Dokumentacja ochrony danych osobowych
      • Dokumentacja RODO w placówkach medycznych
      • Dokumentacja RODO dla biur rachunkowych
    • RODO oferta dla firm
    • RODO w e-commerce
    • Naruszenie ochrony danych osobowych
  • Szkolenie RODO
  • Blog
    • Obowiązki administratora danych osobowych
    • Upoważnienie do przetwarzania danych osobowych
    • Ochrona danych osobowych firmy i informacji poufnych
    • Europejska Rada Ochrony Danych (EROD)
    • Zadania Inspektora ochrony danych
    • Jak prawidłowo wyznaczyć Inspektora ochrony danych?
    • Obowiązki administratora danych osobowych
    • Klauzula informacyjna
    • Zgoda na przetwarzanie danych osobowych w celach marketingowych
    • Przetwarzanie, wykorzystanie i rozpowszechnianie danych osobowych bez zgody
    • Praktyczne problemy z realizacją prawa do usunięcia danych osobowych
    • Dokumentacja pracownicza a RODO – o czym musimy pamiętać?
    • Ochrona danych osobowych pracownika w Internecie
    • Wyciek danych … i co dalej?
    • Co to jest DPIA?
    • Alert RODO – kara za nieumożliwienie przeprowadzenia kontroli
    • Kary za naruszenie RODO np. ujawnianie, czy udostępnianie danych osobowych
    • Praktyczne podejście do art. 32 Rozporządzenia RODO
    • Czym jest monitoring wizyjny?
    • Ochrona danych osobowych a kary RODO
    • Czym jest rejestr czynności przetwarzania danych osobowych?
  • Kontakt
    • SKONTAKTUJ SIĘ Z NAMI

Praktyczne problemy z realizacją prawa do usunięcia danych osobowych

  • 21 kwietnia, 2020
Żądanie usunięcia danych osobowych

Rozporządzenie ogólne o ochronie danych osobowych1 (dalej Rozporządzenie RODO) ma na celu ochronę praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych. W Rozporządzeniu RODO wskazany został katalog praw osób fizycznych, z których osoba, której dane są przetwarzane ma prawo skorzystać.

Prawo do żądania usunięcia danych osobowych („prawo do bycia zapomnianym”)

 

Jednym z praw jest prawo do żądania usunięcia danych osobowych uregulowany w art. 17 Rozporządzanie RODO. Warto podkreślić, iż prawo do żądania usunięcia danych osobowych nie jest nową instytucją. Także na gruncie poprzedniej dyrektywy 95/46/WE, która została zastąpiona Rozporządzeniem RODO, także istniało takie prawo osób, których dane dotyczą.

Zgodnie z treścią ust. 1 niniejszego przepisu osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe. Jednak w wielu przypadkach pojawiają się okoliczności,  w których zapisy prawa mogą rodzić wątpliwość lub podlegać interpretacji. Jak należy potraktować żądanie usunięcia danych osobowych w kontrowersyjnych sytuacjach – gdy osoba powołująca się na ten przepis ma inne zdanie niż administrator odpowiedzialny za ich przetwarzanie?

Okoliczności do realizacji prawa żądania usunięcia danych osobowych – art. 17 ust. 1 Rozporządzenia RODO

 

Przy czym, aby móc zrealizować to prawo musi zachodzić jedna z poniższych okoliczności:

I. Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.

 

Osoba, której dane dotyczą uważa, iż Administrator danych czy też podmiot przetwarzający jej dane osobowe zrealizował już cele, do których wykorzystywał dane. Natomiast Administrator może mieć odmienne zdanie.

II. Osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania.

 

Zgodnie z art. 6 ust. 1 lit. a) podstawą przetwarzania danych osobowych może być zgoda. Wyrażenie zgody odbywa się zgodnie z warunkami opisanymi w art. 7 Rozporządzania RODO. Tym samym, osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę. Przy czym wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

Drugi człon analizowanego zdania pozostawia pewną furtkę dla Administratora danych osobowych. Mianowicie, jeżeli dalsze przetwarzanie danych osobowych odbywa się na innej podstawie prawnej np. przepis prawa – obowiązek podatkowy w związku z przechowywaniem dokumentów księgowych, to żądanie usunięcia danych osobowych może okazać się nieskuteczne dla tej osoby.

III. Osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania.

 

Powyższa okoliczność wiąże się z prawem do sprzeciwu, który z jednej strony osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją (art. 21 ust. 1 Rozporządzenia RODO) a z drugiej strony prawo to odnosi się do sytuacji, w których dane osobowe przetwarzane są na potrzeby marketingu bezpośredniego.

Co do zasady skuteczne wniesienie sprzeciwu, jeżeli nie zachodzą inne okoliczności jest podstawą do żądania usunięcia danych osobowych.

IV. Dane osobowe były przetwarzane niezgodnie z prawem.

 

Jak definiować niezgodność z prawem? Czy będzie to każde naruszenie prawa ? Paweł Fajgielski w swoim komentarzu zawęził to pojęcie, twierdząc, iż „w przepisie tym nie chodzi o jakiekolwiek naruszenia, a jedynie o przypadki, gdy niezgodność z prawem dotyczy niedopuszczalności przetwarzania danych, tzn. sytuacji, gdy administrator nie legitymuje się odpowiednią podstawą uprawniającą go do przetwarzania danych”.2

V. Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.

 

Okres przechowywanie dokumentacji, zbiorów danych, zawierających dane osobowe w wielu sytuacjach jest ściśle określony w przepisach krajowych jak i w prawie Unii Europejskiej. Np. obowiązek przechowywania dokumentacji pracowniczej wynosi 50 lat a minimalnie 10 (poza wyjątkami).

VI. Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

 

Definicja usług społeczeństwa informacyjnego uregulowana została w art. 4 pkt. 25 Rozporządzania RODO i brzmi: oznacza każdą usługę społeczeństwa informacyjnego, to znaczy każdą usługę normalnie świadczoną za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Natomiast art. 8 ust. 1 odnosi się do wyrażenia zgody przez dziecko (w Polsce za dziecko uznaje się osoby do 16 roku życia, przy czym w innych krajach górna granica może być inna).

Technicznie rzecz ujmując podstawą do usunięcia danych osobowych może być sam fakt przetwarzania danych dziecka w celu realizacji usługi społeczeństwa informacyjnego – głownie będą to usługi przez Internet.

Techniczne usunięcie danych – art. 17 ust. 2 Rozporządzenia RODO

 

Administrator danych osobowych otrzymując żądanie usunięcia danych osobowych np. klienta, jeżeli upublicznił dane osobowe tej osoby a zgodnie spełniona jest chociaż jedna z okoliczności wskazanych powyżej to:

  • podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Jak wskazuje treść ust. 2 omawianego artykułu Administrator danych osobowych bierze pod uwagę dostępną technologię i koszt realizacji. W dobie obecnych rozwiązań, techniczna realizacja powyższego obowiązku mogłaby się okazać niemożliwa do wykonania. Dlatego wezwanie osób odpowiedzialnych za powielone dane osobowe i przechowywane w sieci do ich usunięcia w praktyce pozostaje jedynym możliwym działaniem.

Napisz do Nas lub zadzwoń

Wyjątki! – art. 17 ust. 3 Rozporządzenia RODO

 

Prawodawca przewidział także wyjątki. Prawo do żądania usunięcia danych osobowych nie będzie mieć zastosowania w zakresie w jakim przetwarzanie jest niezbędne do:

  • do korzystania z prawa do wolności wypowiedzi i informacji;
  • do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
  • do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
  • do ustalenia, dochodzenia lub obrony roszczeń.

Obowiązek poinformowania o usunięciu danych osobowych

 

W przypadku zrealizowania prawa żądania usunięcia danych osobowych, Administrator ma obowiązek powiadomienia każdego odbiorcę, któremu ujawniono dane osobowe. Przy czym w niektórych sytuacjach może być to niemożliwe albo wymagałoby niewspółmiernie dużego wysiłku, wtedy nie musi spełniać niniejszego obowiązku (art. 19 Rozporządzenia RODO).

Niestety przepis ten może sprawiać duże problemy interpretacyjne a konsekwencje nie zrealizowania obowiązku mogą wiązać się z:

  • administracyjną karą pieniężną w wysokości do 20 000 000 EUR lub w przypadku przedsiębiorców, w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa;
  • nałożeniem działań naprawczych: nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono.

Kara za niezrealizowanie żądania usunięcia danych (Kara RODO)

 

Prezes Urzędu Ochrony Danych Osobowych może wymierzyć działania naprawcze oraz nałożyć administracyjną karę finansową:

  • nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
  • w wysokości do 20 000 000 EUR lub w przypadku przedsiębiorców, w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Ważne wskazówki:

 

  • realizację prawa żądania usunięcia danych możemy wykonać stopniowo;
  • należy dokładnie ocenić, czy usunięcie danych osobowych nie naruszy innych obowiązków prawnych np. obowiązek przechowywania akt pracowników (dokumentacji pracowniczej) przez 50 lat a minimalnie przez okres 10 ( za małymi wyjątkami);
  • realizacja niniejszego prawa wiąże się także z obowiązkiem z art. 19 Rozporządzanie RODO;
  • nawet jeżeli nie możemy zrealizować prawa osoby, która tego zażąda, poinformujmy ją o tym.

1 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

2 Paweł Fajgielski Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, 2018 r.

Zadzwoń teraz: +48 501 161 301
Anna Ozga
Anna Ozga

Audytor Wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001, Pełnomocnik ds. ISO. Odpowiada m.in. za kompleksowe wdrażanie RODO, wspieranie przedsiębiorców w zakresie zabezpieczania danych w firmie, prowadzenie audytów wewnętrznych.

Najnowsze posty
PDWNVV
Jak skutecznie przeprowadzić audyt zgodności z RODO i uniknąć ryzyk prawnych?
27 czerwca 2025
cyber
Jak postępować w przypadku naruszenia ochrony danych osobowych?
27 czerwca 2025
europe
Unia Europejska zapowiada deregulację RODO i uproszczenia dla firm
27 czerwca 2025
fałszywy załącznik w mailu
Jak nie dać się oszukać na fałszywy załącznik w mailu?
25 marca 2025
Udostępnij
Share on facebook
Share on twitter
Share on google
Dodaj komentarz
Najnowsze posty
Jak skutecznie przeprowadzić audyt zgodności z RODO i uniknąć ryzyk prawnych?
27 czerwca 2025
Jak postępować w przypadku naruszenia ochrony danych osobowych?
27 czerwca 2025
Unia Europejska zapowiada deregulację RODO i uproszczenia dla firm
27 czerwca 2025
Jak nie dać się oszukać na fałszywy załącznik w mailu?
25 marca 2025
Jak skonstruować silne i bezpieczne hasło?
25 marca 2025
Jak przygotować się na kontrolę UODO w 2025 roku?
25 marca 2025
LOGO-biel-min
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
  • Inspektor ochrony danych
  • Polityka prywatności
  • Polityka plików cookie
  • Wersja archiwalna – Polityka prywatności oraz plików cookie
  • Regulamin
  • Blog
  • Kontakt
Menu
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
  • Inspektor ochrony danych
  • Polityka prywatności
  • Polityka plików cookie
  • Wersja archiwalna – Polityka prywatności oraz plików cookie
  • Regulamin
  • Blog
  • Kontakt
Linkedin
© 2024 Wszelkie prawa są zastrzeżone, a właścicielem jest OZGA GROUP Sp. z o.o.

Używamy ciasteczek, aby zapewnić najlepszą jakość korzystania z naszej witryny.

Możesz dowiedzieć się więcej o tym, jakich ciasteczek używamy, lub wyłączyć je w .

RODO w firmie
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.

Ściśle niezbędne ciasteczka

Niezbędne ciasteczka powinny być zawsze włączone, abyśmy mogli zapisać twoje preferencje dotyczące ustawień ciasteczek.

Jeśli wyłączysz to ciasteczko, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę stronę, musisz ponownie włączyć lub wyłączyć ciasteczka.

Ciasteczka analityczne

Ta strona korzysta z Google Analytics do gromadzenia anonimowych informacji, takich jak liczba odwiedzających i najpopularniejsze podstrony witryny.

Włączenie tego ciasteczka pomaga nam ulepszyć naszą stronę internetową.

Najpierw włącz ściśle niezbędne ciasteczka, abyśmy mogli zapisać twoje preferencje!

Dodatkowe ciasteczka

Ta strona korzysta z następujących dodatkowych ciasteczek: Meta Pixel, Google Ads

Najpierw włącz ściśle niezbędne ciasteczka, abyśmy mogli zapisać twoje preferencje!

Polityka ciasteczek

Więcej informacji o naszej Polityce ciasteczek