RODO 17: zakres odpowiedzialności strony w praktyce prawnej

Artykuł 17 Ogólnego Rozporządzenia o Ochronie Danych (RODO), znany powszechnie jako prawo do usunięcia danych lub „prawo do bycia zapomnianym”, stanowi jeden z najbardziej rewolucyjnych, a zarazem problematycznych instrumentów współczesnego prawa ochrony danych osobowych. Dla osób, których dane dotyczą, jest to potężne narzędzie kontroli nad własną prywatnością. Dla administratorów danych osobowych (zarówno przedsiębiorców, jak i instytucji publicznych) przepis ten rodzi jednak skomplikowany obowiązek prawny, którego niewłaściwa realizacja wiąże się z poważnymi konsekwencjami finansowymi i wizerunkowymi. Niniejsza analiza szczegółowo omawia zakres odpowiedzialności stron zaangażowanych w proces realizacji uprawnień wynikających z art. 17 RODO, analizując procedury, terminy, ryzyka oraz najczęstsze błędy interpretacyjne.

Istota i teza: Czym jest prawo do bycia zapomnianym?

Główną tezą leżącą u podstaw art. 17 RODO jest założenie, że jednostka powinna mieć realny wpływ na to, jak długo jej dane osobowe są przetwarzane przez podmioty trzecie. Prawo do bycia zapomnianym nie ma jednak charakteru absolutnego. Jego realizacja jest zawsze wypadkową oceny prawnej konkretnego stanu faktycznego. Administrator nie może bezrefleksyjnie usuwać wszystkich danych na każde żądanie, ponieważ często ciążą na nim inne, nadrzędne obowiązki prawne, takie jak konieczność przechowywania dokumentacji podatkowej czy obrona przed roszczeniami.

Odpowiedzialność za prawidłową ocenę zasadności wniosku spoczywa w całości na administratorze. To on musi rozważyć, czy w danym przypadku pierwszeństwo ma prawo jednostki do prywatności, czy też prawnie uzasadniony interes przedsiębiorstwa lub obowiązek wynikający z przepisów prawa krajowego bądź unijnego.

Przesłanki realizacji prawa z art. 17 RODO

Aby wniosek o usunięcie danych był w pełni uzasadniony, musi zaistnieć przynajmniej jedna z przesłanek wymienionych w art. 17 ust. 1 RODO. Katalog ten obejmuje następujące sytuacje:

  • Brak niezbędności: Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.
  • Cofnięcie zgody: Osoba, której dane dotyczą, cofnęła zgodę, na której opierało się przetwarzanie (zgodnie z art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO), i nie ma innej podstawy prawnej przetwarzania.
  • Sprzeciw wobec przetwarzania: Osoba, której dane dotyczą, wnose sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania na potrzeby marketingu bezpośredniego.
  • Niezgodność z prawem: Dane osobowe były przetwarzane niezgodnie z prawem (np. bez jakiejkolwiek podstawy prawnej).
  • Obowiązek prawny: Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
  • Dane dziecka: Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku (art. 8 ust. 1 RODO).

Wyłączenia i ograniczenia – kiedy administrator może odmówić?

Zrozumienie wyjątków od prawa do usunięcia danych jest kluczowe dla uniknięcia ryzyka bezprawnego usunięcia informacji, które są niezbędne do funkcjonowania organizacji. Zgodnie z art. 17 ust. 3 RODO, prawo do bycia zapomnianym nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do:

  • Korzystania z prawa do wolności wypowiedzi i informacji.
  • Wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego (np. przepisy ordynacji podatkowej, ustawy o rachunkowości, przepisy prawa pracy).
  • Realizacji zadań wykonywanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
  • Celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych, o ile uprawnienie to uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania.
  • Ustalenia, dochodzenia lub obrony roszczeń (jest to najczęstsza przesłanka obronna stosowana przez przedsiębiorców w obrocie gospodarczym).

Procedura rozpatrywania wniosku krok po kroku

Wdrożenie jasnej i powtarzalnej procedury obsługi wniosków z art. 17 RODO minimalizuje ryzyko popełnienia błędu i ułatwia wykazanie zgodności przed organem nadzorczym (zasada rozliczalności). Poniżej przedstawiamy rekomendowany schemat postępowania:

  1. Rejestracja i identyfikacja wnioskodawcy: Pierwszym krokiem jest odnotowanie wpływu wniosku oraz weryfikacja tożsamości osoby składającej żądanie. Administrator musi mieć pewność, że nie udostępnia ani nie usuwa danych osoby trzeciej na skutek wyłudzenia.
  2. Analiza formalna i merytoryczna: Należy ocenić, czy wniosek spełnia przynajmniej jedną z przesłanek art. 17 ust. 1 RODO oraz czy nie zachodzą przesłanki wyłączające z art. 17 ust. 3 RODO.
  3. Podjęcie decyzji: Jeśli wniosek jest zasadny, administrator przystępuje do fizycznego usunięcia danych (lub ich anonimizacji, która jest prawnie zrównana z usunięciem, o ile jest nieodwracalna). W przypadku odmowy, należy przygotować szczegółowe uzasadnienie prawne i faktyczne.
  4. Powiadomienie innych odbiorców: Jeżeli administrator upublicznił dane osobowe, a ma obowiązek je usunąć, musi podjąć rozsądne działania (w tym środki techniczne), by poinformować innych administratorów przetwarzających te dane o konieczności usunięcia wszelkich łączy do nich, ich kopii lub replik.
  5. Odpowiedź do wnioskodawcy: Administrator ma obowiązek poinformować osobę, której dane dotyczą, o podjętych działaniach (usunięciu danych lub odmowie wraz z pouczeniem o prawie wniesienia skargi do organu nadzorczego).

Termin na realizację obowiązku i konsekwencje jego niedotrzymania

Zgodnie z art. 12 ust. 3 RODO, administrator ma obowiązek udzielić informacji o działaniach podjętych w związku z wnioskiem bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę wniosków. W przypadku przedłużenia terminu administrator musi jednak poinformować o tym wnioskodawcę w ciągu miesiąca od otrzymania żądania, podając przyczyny opóźnienia.

Niedotrzymanie tego terminu lub bezpodstawna odmowa realizacji wniosku stanowi bezpośrednie naruszenie przepisów RODO. Osoba, której dane dotyczą, może wnieść skargę do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych – PUODO). Organ ten dysponuje szerokim wachlarzem uprawnień naprawczych i dyscyplinujących, w tym możliwością nałożenia administracyjnych kar pieniężnych do wysokości 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

Ryzyka i najczęstsze błędy administratorów

Praktyka prawna pokazuje, że administratorzy danych często popełniają kardynalne błędy przy obsłudze wniosków o usunięcie danych. Do najważniejszych ryzyk należą:

  • Automatyczne usuwanie danych: Często pod wpływem emocji lub obawy przed karami administratorzy usuwają dane natychmiast po otrzymaniu e-maila, niszcząc tym samym dowody niezbędne do obrony przed ewentualnymi roszczeniami cywilnymi lub podatkowymi.
  • Brak weryfikacji tożsamości: Realizacja żądania bez upewnienia się, czy wnioskodawca jest rzeczywiście osobą, za którą się podaje, co może prowadzić do incydentu bezpieczeństwa (nieuprawnionego ujawnienia lub zniszczenia danych).
  • Ignorowanie wniosków: Brak jakiejkolwiek odpowiedzi w ustawowym terminie miesiąca, co niemal automatycznie skutkuje skargą do PUODO i wszczęciem postępowania kontrolnego.
  • Niewłaściwa anonimizacja: Zastąpienie danych osobowych ciągiem znaków w sposób, który nadal pozwala na łatwą identyfikację osoby (np. poprzez powiązanie z innymi bazami danych). Taki proces nie jest skutecznym usunięciem danych w rozumieniu RODO.

Praktyczny przykład zastosowania procedury

Wyobraźmy sobie sytuację, w której były klient sklepu internetowego składa wniosek o usunięcie wszystkich jego danych osobowych z bazy sprzedawcy na podstawie art. 17 RODO. Klient dokonał zakupu rok wcześniej, a transakcja została sfinalizowana pomyślnie.

Jak powinien postąpić administrator sklepu? Nie może on po prostu usunąć całej kartoteki klienta. Sklep ma obowiązek przechowywać dane dotyczące transakcji (faktury, dowody wpłaty) przez okres 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (wynika to z przepisów prawa podatkowego). Ponadto, sklep może przetwarzać dane w celu obrony przed ewentualnymi roszczeniami z tytułu rękojmi lub gwarancji.

W związku z tym administrator powinien podjąć następujące działania: usunąć dane marketingowe (np. adres e-mail z bazy newslettera, historię przeglądania produktów, jeśli opierała się na zgodzie), natomiast pozostawić dane niezbędne do celów podatkowych i obrony przed roszczeniami. Klient musi zostać o tym fakcie precyzyjnie poinformowany – administrator powinien wskazać, które dane usunął, a które i na jakiej podstawie prawnej (np. art. 17 ust. 3 lit. b i e RODO) nadal przechowuje oraz przez jaki okres.

Podsumowanie i rekomendacje dla praktyków

Prawidłowa realizacja art. 17 RODO wymaga od organizacji nie tylko znajomości przepisów prawa, ale również doskonałej orientacji we własnych zasobach informacyjnych. Kluczem do minimalizacji ryzyk prawnych jest stworzenie wewnętrznej instrukcji postępowania na wypadek wpłynięcia żądania usunięcia danych oraz regularne szkolenie personelu odpowiedzialnego za kontakt z klientami. Każda decyzja o odmowie usunięcia danych powinna być szczegółowo uzasadniona i udokumentowana, co w razie kontroli organu nadzorczego pozwoli wykazać, że administrator działał z należytą starannością i zgodnie z zasadą rozliczalności.