Reakcją administratora na wniosek o usunięcie danych osobowych winno być usunięcie tych danych zgodnie z żądaniem, jeśli spełnione są przesłanki uwzględnienia wniosku z art. 17 ust. 1 RODO.
Artykuł 17 – Prawo do usunięcia danych („prawo do bycia zapomnianym”)1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1. |
W szczególności żądanie usunięcia danych powinno być zrealizowane, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane bądź osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania.
W każdym indywidualnym przypadku administrator danych zobowiązany jest ustalić, czy na podstawie dotychczas posiadanych przez siebie informacji jest w stanie ustalić tożsamość osoby, która wystąpiła z żądaniem. Dopiero w razie niemożności zweryfikowania tożsamości osoby żądającej usunięcia danych administrator może zażądać dodatkowych informacji od podmiotu danych. Dla potwierdzenia tożsamości podmiotu, który zażądał usunięcia danych wystarczający może okazać się zwykły e-mail zawierający skan podpisanego żądania o usunięcie danych (np. w sytuacji gdy e-mail wysłany został ze znanego administratorowi danych adresu albo gdy podpis na skanie dokumentu jest zgodny z podpisem znajdującym się na dokumentach składanych do tej pory przez podmiot danych). Natomiast chodzi o e-mail czy pismo, które zawiera żądanie usunięcia danych, to ze względu na zasadę rozliczalności i uprawnienia podmiotów danych (np. prawo do przeniesienia danych) administrator powinien rozważyć pozostawienie e-miala, pisma w dokumentacji, ale jednoczesne podjęcie czynności prowadzących do zminimalizowania zawartych w nich danych osobowych.
Zapraszamy na szkolenia dotyczące ochrony danych osobowych, gdzie odpowiemy na wiele innych pytań nurtujących ADO, IOD.
Dariusz Skrzyński
17-09-2019