d
Follow us
8:00 - 19:00 975.789.098
  >  Ochrona danych osobowych   >  Prawo do bycia zapomnianym – kiedy przedsiębiorca musi usunąć dane klienta?

Prawo do bycia zapomnianym – kiedy przedsiębiorca musi usunąć dane klienta?

W dobie cyfrowych zakupów każdy sklep internetowy gromadzi dane osobowe swoich klientów – od adresów e-mail, numerów telefonu przez dane dostawy, adresowe, aż po historię transakcji. Sklepy internetowe gromadzą informacje o klientach na potrzeby realizacji zamówień, obsługi płatności, działań marketingowych czy programów lojalnościowych. Równocześnie konsumenci coraz częściej zwracają uwagę na to, w jaki sposób ich dane są wykorzystywane i domagają się kontroli nad ich przetwarzaniem. Jednym z kluczowych narzędzi, które daje im RODO, jest tzw. prawo do bycia zapomnianym, czyli możliwość żądania usunięcia danych osobowych. W artykule wyjaśniamy, kiedy klient może skutecznie skorzystać z tego prawa oraz w jakich sytuacjach przedsiębiorca ma prawo odmówić usunięcia danych.

Wprowadzenie

Prawo do bycia zapomnianym, uregulowane w art. 17 RODO, stanowi jedno z najważniejszych uprawnień przysługujących osobom fizycznym wobec administratorów danych. Jego istotą jest możliwość żądania usunięcia danych osobowych w określonych sytuacjach – np. gdy dane nie są już potrzebne, zgoda została cofnięta albo przetwarzanie odbywa się bez podstawy prawnej. Poniżej przedstawiono główne przesłanki, w których klient sklepu internetowego może domagać się realizacji tego prawa. Możliwość skorzystania z niego zachodzi, jeżeli:

a)

dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane (cele zostały osiągnięte);

b)

osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (i nie ma innej podstawy prawnej przetwarzania);

c)

osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania (np. sprzeciw wobec działań marketingowych);

d)

dane osobowe były przetwarzane niezgodnie z prawem (np. dane zostały pozyskane bez żadnej podstawy wymaganej na mocy art. 6 RODO);

e)

dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator (konkretny przepis nakazuje usunięcie danych);

f)

dane osobowe zostały zebrane w związku z oferowaniem bezpośrednio dziecku usług społeczeństwa informacyjnego (o których mowa w art. 8 ust. 1) – chodzi tu m.in. o różnego rodzaju usługi internetowe, np. korzystanie z portali społecznościowych.

W kontekście sklepu internetowego kwestia usunięcia danych na zgłoszone żądanie klienta nie zawsze jest oczywista. Usunięcie danych klienta zależy od okoliczności danej sytuacji, kategorii danych i podstawy prawnej ich przetwarzania.

W pierwszej kolejności przesłanką skorzystania z prawa do bycia zapomnianym będzie spełnienie celu, w jakim dane są zbierane. Po osiągnięciu celu, dla którego dane zostały zebrane, ich przetwarzanie powinno zostać zakończone. Jeśli administrator mimo to nadal je przetwarza albo wykorzystuje do innych, niezgodnych celów, osoba, której dane dotyczą, ma prawo zażądać ich usunięcia i domagać się zaprzestania przetwarzania. Przykładem takiej sytuacji będzie przetwarzanie danych konta użytkownika po usunięciu przez niego konta w sklepie internetowym (poza danymi koniecznymi dla prowadzenia rachunkowości lub realizacji roszczeń z rękojmi).

Drugą przesłanką, wskazaną omawianym przepisie RODO, która uprawnia podmiot danych do żądania od administratora usunięcia danych, jest wycofanie zgody na przetwarzanie danych, w sytuacji, gdy administrator nie ma innej podstawy prawnej, na której mógłby oprzeć przetwarzanie danych. Jeżeli osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych, to ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody powinno skutkować zaprzestaniem przetwarzania danych w zakresie, w jakim przetwarzanie opiera się na zgodzie. Jeżeli administrator, pomimo wycofania zgody, nie zaprzestał przetwarzania danych, to osoba, której dane dotyczą, może żądać dopełnienia tego obowiązku, a administrator ma obowiązek niezwłocznie usunąć dane. Przykładem takiej sytuacji będzie przetwarzanie i przechowywanie adresu mailowego zebranego na cele ankiety, programu lojalnościowego czy newslettera po wycofaniu zgody na przetwarzanie danych w zakresie wskazanych funkcjonalności.

Przesłanki żądania usunięcia danych z lit. c wymienione powyżej wynikają z uprawnienia osoby, której dane dotyczą do wniesienia sprzeciwu wobec ich przetwarzania (art. 21 RODO). Wyróżnia się:

  • sprzeciw z przyczyn związanych ze szczególną sytuacją osoby, gdy podstawą przetwarzania jest prawnie uzasadniony interes, w tym profilowanie;

  • sprzeciw wobec przetwarzania danych do celów marketingu bezpośredniego, w tym profilowania.

W pierwszym przypadku dalsze przetwarzanie jest dopuszczalne jedynie, gdy administrator wykaże istnienie nadrzędnych wobec klienta podstaw prawnych lub konieczność ustalenia, dochodzenia bądź obrony roszczeń. W drugim – przetwarzanie do celów marketingowych jest całkowicie wyłączone. Skuteczny sprzeciw obliguje administratora do zaprzestania przetwarzania i niezwłocznego usunięcia danych.

Kolejnym przypadkiem, gdy dochodzi do aktualizacji prawa do żądania usunięcia danych osobowych, jest brak podstawy prawnej przetwarzania danych. Osoba, której dane dotyczą, ma prawo żądać ich usunięcia, jeżeli uważa, że administrator przetwarza je niezgodnie z prawem. Należy jednak przyjąć, że chodzi tu nie o każde naruszenie przepisów, lecz przede wszystkim o sytuacje, w których przetwarzanie danych jest niedopuszczalne z uwagi na brak odpowiedniej podstawy prawnej po stronie administratora. Przykładem takiego działania będzie wykorzystanie danych osobowych np. adresu mailowego uzyskanego w związku z zamówieniem, a następnie przesyłanie newslettera na adres mailowy klienta.

Skorzystanie z następnej przesłanki, gdy dane osobowe powinny zostać usunięte w celu wywiązania się z obowiązku prawnego (przewidzianego w prawie UE lub prawie państwa członkowskiego) wymaga odniesienia do konkretnej regulacji. Skorzystanie z tej przesłanki wymaga wskazania przepisu szczególnego, z którego wynika obowiązek usunięcia danych. Mogą to być zarówno przepisy prawa krajowego, jak i unijnego. Przykładem, choć nie związanym z działalnością online może być regulacja art. 8 ust. 1 c ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych („Pracodawca przetwarza dane osobowe, przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń”.).

Ostatnia przesłanka wiąże się z przetwarzaniem danych dziecka zebranych w związku z oferowanymi usługami społeczeństwa informatycznego. Usługi społeczeństwa informacyjnego to usługi świadczone zazwyczaj za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Najczęściej są to usługi świadczone za pośrednictwem sieci Internet. Niniejsza przesłanka odnosi się do warunków wyrażenia zgody przez dziecko, w przypadku usług społeczeństwa informacyjnego w związku z tym ma charakter wyjątkowy i dotyczy jedynie osób, których dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dzieciom. Dla możliwości skorzystania z uprawnienia do żądania usunięcia danych na podstawie omawianej tu przesłanki wystarczy, że dane zostały zebrane w związku z oferowaniem dziecku usług społeczeństwa informacyjnego.

Kiedy można odmówić usunięcia danych?

Choć prawo do bycia zapomnianym daje klientowi szerokie możliwości żądania usunięcia danych, nie ma ono charakteru bezwzględnego. RODO przewiduje bowiem sytuacje, w których przedsiębiorca może – a nawet musi – odmówić realizacji takiego żądania. Wynika to z konieczności pogodzenia prawa jednostki do prywatności z innymi istotnymi wartościami, takimi jak interes publiczny, obowiązki prawne administratora czy ochrona przed roszczeniami.
Zatem żądanie usunięcia danych nie ma charakteru absolutnego i przedsiębiorca może odmówić usunięcia danych, jeżeli dalsze przetwarzanie jest niezbędne:

a)

do korzystania z prawa do wolności wypowiedzi i informacji;

b)

do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

c)

z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;

d)

do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych;

e)

do ustalenia, dochodzenia lub obrony roszczeń.

Omawiając pokrótce powyższe podstawy, należy wskazać, iż pierwsza podstawa odmowy usunięcia związana jest z zapobieganiem ingerencji w treść publikacji prasowych oraz usuwania danych z archiwów prasowych. Odmowa na podstawie litery b) powyżej dotyczy działalności w obszarze organów administracji publicznej i samorządowej, gdy konkretne regulacje prawne wymagają przechowywania danych.

Podstawa zawarta w literze c) dotyczy w pierwszej kolejności przetwarzania niezbędnego do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, lub ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych.

Najistotniejszą jednak przesłanką odmowy usunięcia danych, z punktu widzenia prowadzonej działalności, jest konieczność ustalenia, dochodzenia lub obrony przed roszczeniami. Względem konsumentów korzystających ze sklepów internetowych będzie to oznaczało konieczność przetwarzania danych związanych z roszczeniami z tytułu rękojmi, gwarancji czy umów o świadczenie innych usług elektronicznych obejmujących różne funkcjonalności dostępne w serwisach (co do zasady przedsiębiorca ponosi odpowiedzialność za brak zgodności towaru z umową istniejący w chwili jego dostarczenia i ujawniony w ciągu dwóch lat od tej chwili).

Podsumowanie

Podsumowując – prawo do bycia zapomnianym nie oznacza całkowitego i automatycznego usunięcia wszystkich śladów aktywności klienta. Przepisy RODO mają na celu zachowanie równowagi pomiędzy obowiązkami prawnymi i podatkowymi przedsiębiorcy a prawami osób, których dane dotyczą. Należy przy tym pamiętać, że zlekceważenie obowiązków w tym zakresie może skutkować poważnymi konsekwencjami – organ nadzorczy może nałożyć na administratora administracyjną karę pieniężną sięgającą nawet 20 mln euro lub, w przypadku przedsiębiorstw, do 4% całkowitego rocznego obrotu z poprzedniego roku obrotowego.

Dlatego tak istotne jest, aby procesy przetwarzania danych były transparentne, zgodne z wymogami RODO i jasno komunikowane klientom. Pozwala to nie tylko uniknąć sankcji, lecz także budować zaufanie użytkowników. W praktyce warto zadbać w szczególności o:

  1. Jasną i czytelną politykę prywatności – informuj, które dane i jak długo są przechowywane oraz o prawie do żądania usunięcia danych osobowych.
  2. Wdrożenie procedury obsługi żądań klientów – dla sprawnej realizacji zgłaszanych żądań.
  3. Dokumentowanie przypadków odmowy usunięcia wraz z uzasadnieniem prawnym – dla zabezpieczenia przed ewentualnym postępowaniem przed UODO.

Kontakt

Jeśli potrzebują Państwo wsparcia prawnego w zakresie ochrony danych osobowych – zapraszamy do kontaktu z Kancelarią.

Andrzej Dybał

przez
Ochrona danych osobowych
0

Podobne wpisy

przez
przez
przez

Zapisz się do newslettera