Prawo do bycia zapomnianym to rezultat sprawy wytoczonej przez Mario Costeja Gonzaleza hiszpańskiemu GIODO i hiszpańskiemu oddziałowi Google. Mario Costejo Gonzalez domagał się, aby z wyników wyszukiwania Google usunięte zostały linki do stron internetowych zawierających jego dane osobowe. Sprawa doszła aż do najwyższego sądu UE – Trybunał Sprawiedliwości Unii Europejskiej. Trybunał rozpoznając sprawę uznał Google za administratora danych osobowych i nakazał Google usunąć wyniki wyszukiwania. Prawo do bycia zapomnianym to takie uprawnienie, które pozwala na usunięcie informacji personalnych z baz danych zgromadzonych przez różne podmioty dysponujące danymi osobowymi.
Na bazie sprawy Mario Costeja Gonzaleza, w RODO wprowadzono art. 17 zatytułowany „Prawo do usunięcia danych („prawo do bycia zapomnianym")". - Na mocy tego przepisu, Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki je usunąć. Obowiązek ten powstaje, gdy zachodzi jedna z poniższych sytuacji: dane te nie są już administratorowi niezbędne, została cofnięta zgoda na ich przetwarzanie, osoba, której dane dotyczą wnosi sprzeciw co do ich przetwarzania bądź były one przetwarzane niezgodnie z prawem – tłumaczy Jacek Grzyb z firmy teamLeaders, zajmującej się dostarczaniem rozwiązań kognitywnych wykorzystujących przetwarzanie języka naturalnego.
„Analogowe" rekordy
Jedna z warszawskich firm w październiku tego roku organizuje dużą konferencję dla potencjalnych klientów. Aby zapewnić jak najwyższą frekwencję, stworzyła dużą bazę danych gości, korzystając zarówno z własnych, jak i zewnętrznych baz danych. Jednym z zaproszonych gości jest pan X, który jak się okazuje, nie jest zainteresowany tematyką konferencji i żąda usunięcia swoich danych z listy mailingowej. Dzisiaj wystarczy, że firma usunie go z bazy i tym samym spełni wymogi ustawy o ochronie danych osobowych. Za rok to jednak nie wystarczy, co więcej, firma może być narażona na gigantyczne kary. Dlaczego?
- Zgodnie z zapisami RODO, firma musi na żądanie danej osoby, usunąć jej dane. Mało kto jednak wie o tym, że dotyczy to wszystkich dokumentów, na których widnieją dane. To więc nie tylko elektroniczne bazy danych, ale także pliki, maile, luźne wydruki, ankiety i dokumenty, które być może leżą spakowane w kartonach lub leżą na półce. Jeżeli zawierają dane osobowe, to podlegają ochronie – przekonuje Jacek Grzyb z teamLeaders.
Warto podkreślić, że przepisy nakazujące wykreślenie na żądanie danych osobowych z firmowych rejestrów, zawarte w Ustawie o Ochronie Danych Osobowych obowiązują już dzisiaj – problem w tym, iż nikt dotychczas nie analizował czy po cofnięciu zgody na ich dalsze gromadzenie i przetwarzanie przez daną osobę, zostały one usunięte ze skanów, plików tekstowych czy nagrań, które również stanowią „nośniki" informacji personalnych. Podobnie, jak dokumenty w klasycznej, papierowej formie. - W praktyce, zwykle nikt nie weryfikuje, czy na skanach bądź wydrukach znajdują się informacje klasyfikowane jako dane osobowe – w przypadku, gdy w jakikolwiek sposób „wypłyną" one poza organizację – niezależnie od tego czy w formie cyfrowej czy też papierowej – a zawierają dane osób, które skorzystały z prawa do bycia zapomnianym, mogą narazić firmę na wielomilionowe straty finansowe z tytułu kar przewidzianych w RODO – dodaje Jacek Grzyb.