Jak zareagować na wniosek o usunięcie danych osobowych według RODO

Czym jest wniosek o usunięcie danych? Otóż jest to żądanie od administratora niezwłocznego usunięcia danych osobowych dotyczących żądającego. Żądanie takie jest zasadne, jeżeli:

• dane osobowe nie są już niezbędne do celów, w których są przetwarzane,
• osoba, której dotyczą dane, cofnęła zgodę na ich przetwarzanie i nie ma innej podstawy tego przetwarzania,
• podmiot danych wniósł sprzeciw na mocy art. 21 ust. 1 RODO i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania albo gdy podmiot danych wniósł sprzeciw w trybie art. 21 ust. 2 RODO,
• dane osobowe przetwarzano nielegalnie,
• dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub krajowym, któremu podlega administrator,
• dane osobowe zebrano w związku z oferowaniem usług społeczeństwa informacyjnego.

Więcej na temat prawa do bycia zapomnianym w nagraniu. W artykule skoncentrujemy się natomiast na prawidłowej reakcji na wniosek o usunięcie danych osobowych.

Przepisy nie precyzują, w jakiej formie podmiot danych powinien zwrócić się do administratora danych osobowych z żądaniem ich usunięcia. Dlatego należy przyjąć, że forma ta jest dowolna zwłaszcza, że administrator danych ma obowiązek ułatwić podmiotowi danych wykonywanie przysługujących mu praw (art. 12 ust. 2 RODO).

Nawet jeśli żądanie usunięcia danych jest zasadne, to w pierwszej kolejności należy zweryfikować tożsamość wnioskodawcy, jeżeli nie jest ona pewna. Najpierw należy podjąć próbę weryfikacji na podstawie posiadanych informacji. Zaś dopiero w razie braku możliwości takiej weryfikacji administrator może zażądać dodatkowych informacji od wnioskodawcy.

Kolejnym krokiem jest oczywiście ocena zasadności żądania usunięcia danych osobowych w kontekście przesłanek wskazanych w art. 17 ust. 1 RODO. Jeżeli wypadnie ona pozytywnie to administrator ma obowiązek niezwłocznego usunięcia przetwarzanych danych osobowych.

Czy usunięcie danych osobowych musi być potwierdzone? Przepisy RODO nie nakazują administratorowi danych potwierdzania podmiotowi danych, że doszło do usunięcia jej danych osobowych zgodnie ze zgłoszonym żądaniem. Nie oznacza to jednak, że administrator nie podlega obowiązkowi informacyjnemu. Otóż musi on poinformować:

• każdego odbiorcę, któremu ujawniono dane osobowe, o usunięciu tych danych, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku (pobierz wzór takiej informacji),
• wnioskodawcę o tych odbiorcach, jeżeli tego zażąda.

Jeśli natomiast chodzi o e-mail czy pismo, które zawiera żądanie usunięcia danych, to administrator powinien rozważyć ich pozostawienie w dokumentacji. Jednocześnie powinien podjąć czynności prowadzące do zminimalizowania zawartych w nich danych osobowych. W ten sposób zgodnie z regułą rozliczalności będzie on w stanie wykazać, że spełnił żądanie usunięcia danych.