RODO na tacy. Odcinek IV: O prawie do bycia zapomnianym (sic!) i zabrania danych ze sobą

Artykuł
Rodo na tacy odcinek czwarty

Internet nie zapomina. Nikt, kto w nim żyje, nie ma co do tego złudzeń. Łatwo sobie wyobrazić, co by było, gdybyśmy poprosili sieć o zapomnienie kompromitującej informacji na nasz temat. Nic dobrego, wystarczy wspomnieć sprawę Barbry Streisand czy Hiszpana Maria Costei Gonzáleza. A więc o co tak naprawdę chodzi z „prawem do zapomnienia” w nowej unijnej regulacji? Kiedy będziemy mogli skutecznie usunąć swoje dane, a kiedy będziemy musieli się pogodzić z tym, że żyją własnym życiem? W zakresie usuwania/zapominania tak naprawdę niewiele się zmieni, ale za to pojawi się nowa możliwość: prawo do zabrania danych ze sobą, kiedy decydujemy się zmienić bank czy portal społecznościowy. Jak z tych praw korzystać? Wyjaśniamy ludzkim językiem.

Zasady, które wynikają z RODO, przypominają te, które intuicyjnie stosujemy w relacjach z ludźmi

W cyklu RODO na tacy, mówiąc o relacji administratora i osoby, której dane są przetwarzane (tzw. podmiotu danych), lubimy posługiwać się analogią do uczuciowego związku dwóch osób. Nie tylko dlatego, że marzymy o świecie, w którym firmy i instytucje zbierające nasze dane traktują nas podmiotowo. Też dlatego, że zasady, które wynikają z RODO, w wielu momentach przypominają te, które intuicyjnie stosujemy w relacjach z ludźmi. Ta regulacja próbuje przywrócić racjonalność, zaufanie i dialog w obszarze, w którym przez ostatnie lata dominowało podejście oparte na przeświadczeniu, że dane nie mają nic wspólnego z człowiekiem, więc można je swobodnie eksploatować. No więc nie można, a przynajmniej nie zawsze… 

Kiedy mamy prawo powiedzieć „zapomnij o mnie/ usuń moje dane”?

Granice tzw. prawa do bycia zapomnianym – a tak naprawdę znanego od dawna prawa do usunięcia danych – według RODO są dość intuicyjne. Tak długo, jak pozostajemy z firmą albo publiczną instytucją w relacji, która wymaga naszych danych, nie możemy powiedzieć „zapomnij o mnie!”. Nie możemy przyjść do banku albo ZUS-u i zażądać wymazania wszelkich naszych danych z bazy, jednocześnie oczekując, że nadal będziemy korzystać z rachunku, kredytu czy ubezpieczenia społecznego. To dość logiczne, prawda?

Dopóki dane są potrzebne i przetwarzane zgodnie z prawem, żądanie usunięcia nie zadziała

Wbrew nazwie prawo do bycia zapomnianym to przede wszystkim prawo do usunięcia danych wtedy, kiedy przestają być potrzebne albo kiedy ustaje podstawa, na której ich przetwarzanie było oparte (np. kończy się umowa albo zmienia prawo). Łatwiej to wytłumaczyć na konkretnych przykładach.

Oto typowe sytuacje, w których możemy zażądać od firmy albo publicznej instytucji, żeby usunęła nasze dane:

  • Dane przestały być potrzebne

Dane zawsze są zbierane w określonym celu (a przynajmniej tak być powinno) i na określony czas – np. po to, żeby zrealizować zamówioną przez nas usługę (wysłać książkę, którą kupiliśmy online czy umożliwić korzystanie z portalu społecznościowego), albo po to, żeby wypełnić prawny obowiązek (rozliczyć podatek czy zweryfikować naszą zdolność kredytową). W momencie, w którym ten cel zostanie zrealizowany, dane przestają być potrzebne. Wtedy, co do zasady (por. wyjątki opisane poniżej), możemy zażądać ich usunięcia. Inna sprawa, że w dobrze działającym systemie takie żądanie nie powinno być potrzebne: każda firma/instytucja powinna z własnej inicjatywy usuwać dane, które przestały jej być potrzebne.

  • Wcześniej zgodziliśmy się przekazać dane, ale zmieniamy zdanie

W relacjach z firmami często jesteśmy proszeni o zgodę na przetwarzanie dodatkowych danych (czyli takich, które nie są potrzebne do realizacji umowy czy wywiązania się z prawnych obowiązków – RODO na tacy. Odcinek 2). Czasem się zgadzamy, a potem przychodzi refleksja: po co im w zasadzie te dane? Nic straconego: raz daną zgodę w każdej chwili możemy wycofać i zażądać usunięcia danych, które wcześniej dobrowolnie przekazaliśmy.

  • Chodzi o dane, które służyły celom marketingowym

Jedną z podstaw przetwarzania danych, z których często korzystają firmy (nie mogą tego zrobić instytucje publiczne), jest tzw. uzasadniony interes administratora, w tym marketing własnych produktów. Zgodnie z RODO administrator powinien zważyć własny interes (np. korzyści wynikające z marketingu) i stopień naruszenia naszych praw i wolności (np. czy nie wkracza nadmiernie w prywatność swoich klientów, śledząc bez przerwy ich lokalizację). W takiej sytuacji mamy prawo sprzeciwu, a więc powiedzenia: „nie zgadzam się na wykorzystywanie moich danych w tak zdefiniowanym interesie administratora”. I zażądania usunięcia profilu marketingowego.

  • Firma/instytucja nie ma podstawy, żeby te dane przetwarzać

Prawo się zmienia, a wraz z nim podstawy przetwarzania danych. To, co wczoraj było legalne, jutro może się stać problematyczne. Zdarza się też, niestety, że administrator sięga po dane, których w ogóle nie powinien przetwarzać. Na przykład zaciąga nasze dane z sieci w celach marketingowych, twierdząc, że to nie są dane osobowe (bo nie ma wśród nich naszego imienia i nazwiska). Jeśli się zorientujemy, że taka sytuacja ma miejsce, możemy nie tylko zażądać usunięcia bezprawnie przetwarzanych danych, ale też wnieść skargę do prezesa Urzędu Ochrony Danych Osobowych, ewentualnie od razu do sądu (tym możliwościom poświęcimy kolejny odcinek Rodo na tacy!).

  • Chodzi o dane dzieci w sieci

Zgodnie z RODO dzieci, które ukończyły 16 lat, mogą samodzielnie decydować o przekazywaniu swoich danych osobowych firmom internetowym. Ustawodawca wyszedł jednak z założenia, że należy im się szczególna ochrona, bo mogą nie być świadome ryzyka i konsekwencji z tym związanych (szczególnie kiedy w grę wchodzi wykorzystywanie danych do celów marketingowych lub tworzenia profili osobowych). Dlatego dziecku przysługuje bezwzględne prawo rozmyślenia się i zażądania usunięcia przekazanych wcześniej danych.

A co, jeśli nasze dane zostały opublikowane?

Skuteczne usunięcie danych nigdy nie jest proste, szczególnie jeśli mówimy o usuwaniu ich z serwera, a nie tabelki w Excelu. Zwykle dochodzi do nadpisania danych, co – przy odpowiedniej determinacji – umożliwia odzyskanie tego, co było wcześniej. W przypadku serwera, do którego dostęp ma nieograniczona liczba osób, jest jeszcze trudniej. Jeśli dane zostały opublikowane w sieci, administrator nie ma kontroli nad tym, gdzie i przez kogo została stworzona ich kopia. Co można zrobić w takich sytuacji? Niewiele, w zasadzie lepiej uznać, że mleko się wylało.

Jeśli dane trafiły na publiczny serwer, niewiele da się w tej sprawie zrobić...

Zgodnie z RODO, jeśli zgłaszamy się do firmy lub instytucji z żądaniem usunięcia danych, które wcześniej zostały przez nią upublicznione, ta firma/instytucja powinna podjąć tzw. rozsądne działania, by poinformować innych administratorów przetwarzających nasze dane, że żądamy ich usunięcia. Chodzi o usunięcie wszelkich linków i kopii, jakie mogą się znajdować w internecie. Co to oznacza w praktyce? Zobaczymy, jak RODO zacznie w pełni być stosowane. Nie spodziewajmy się jednak cudów. Rozsądne działania zapewne ograniczą się do poinformowania dużych internetowych graczy, takich jak Google, o tym, że żądamy usunięcia swoich danych (np. z wyników wyszukiwania), a nie tropienia prywatnych kopii czy archiwalnych stron.

Kiedy żądanie usunięcia danych nie zadziała?

Niezależnie od technicznych ograniczeń są jeszcze ograniczenia prawne. Kiedy nasze żądanie usunięcia danych (mimo że spełnia warunki, o których pisaliśmy wyżej) może napotkać prawną barierę? Oto typowe ograniczenia, z którymi musimy się liczyć:

  • Nie możemy usunąć wcześniej upublicznionych danych, jeśli naruszałoby to prawo innych osób do korzystania z wolności wypowiedzi lub prawa do informacji. To ograniczenie dotyczy tych, którzy marzą o wymazaniu się z wyników wyszukiwania czy archiwalnych wydań gazet. Oczywiście, podobnie jak Mario Costeja González, zawsze możemy powalczyć o swoje racje w sądzie.
  • Organy publiczne i instytuty naukowe mogą przetwarzać nasze dane w celach archiwalnych, badań naukowych i historycznych oraz celach statys­tycznych.
  • Prawo podatkowe i przepisy o rachunkowości nakazują firmom przechowywać nasze faktury, rachunki i paragony przez 5 lat od zamknięcia roku podatkowego.
  • Firma, z którą się rozstajemy, ma prawo przechowywać nasze dane (treść umowy, rachunki, historię płatności etc.) aż do przedawnienia ewentualnych roszczeń. Okres przedawnienia zależy od umowy, jaką zawarliśmy, ale najczęściej są to 3 lata.
  • Bank może przechowywać dane osobowe, które są mu niezbędne do oceny zdolności kredytowej, jeszcze przez 5 lat od momentu zamknięcia rachunku i przez 12 lat do celów statystycznych.
  • Od 2018 r., w związku ze zmianami w kodeksie pracy, pracodawcy będą musieli przechowywać dane swoich pracowników na potrzeby ustalenia wysokości emerytury przez 10 lat od zakończenia stosunku pracy. To w sumie dobra wiadomość, bo do tej pory musieli je przechowywać aż 50 lat!

Kiedy mamy prawo zabrać dane ze sobą?

A co jeśli chcemy odejść (zmienić bank, operatora telekomunikacyjnego czy serwis społecznościowy), a swoje dane osobowe zabrać ze sobą? RODO wychodzi naprzeciw takiej potrzebie i przyznaje nam prawo do przeniesienia danych (w ustrukturyzowanym, powszechnie używanym formacie) pod dwoma warunkami:

  • dane są przetwarzane w sposób zautomatyzowany;
  • są to dane, które sami dostarczyliśmy – albo z własnej inicjatywy (w oparciu o udzieloną zgodę), albo na podstawie umowy (dane niezbędne do realizacji umowy).

To oznacza, że nie możemy wymagać pomocy w przeniesieniu danych, jeśli firma czy instytucja, o którą chodzi, sama trzyma je w papierowej bazie danych albo w grę wchodzą dane, których sami jej nie dostarczyliśmy. O ile ten pierwszy warunek jest dość archaiczny i mało która firma będzie się mogła na niego powołać, o tyle drugi może przysporzyć realnych trudności. Czy chodzi tylko o dane, które sami wpisujemy w formularze internetowe, ale już nic więcej? Co z historią transakcji bankowych, zakupów online czy rachunkami za prąd, skoro generujemy je swoją aktywnością, ale danych osobowych, które się w nich pojawiają, własnoręcznie nie dostarczamy? 

Dane „dostarczone”, dane wygenerowane, dane pochodne...

Na te wątpliwości próbuje odpowiedzieć Grupa Robocza art. 29 (ciało skupiające europejskie organy ochrony danych osobowych) w swoich wytycznych. Zdaniem Grupy wyrażenie „dostarczone przez podmiot danych”, które pojawia się w RODO, trzeba interpretować szeroko. A zatem chodzi nie tylko o te dane, które świadomie i aktywnie podaliśmy (np. adres mailowy, imię i nazwisko, wiek etc. wpisywane w formularzach internetowych), ale również o te, które wygenerowała nasza aktywność w ramach danej usługi lub fakt, że byliśmy przez jej dostawcę obserwowani. Zgodnie z tą interpretacją prawo do przeniesienia danych obejmie np. nasze wpisy na portalu społecznościowym i związane z nimi metadane, historię wyszukiwania czy dokonane transakcje. Jeśli urządzenie lub aplikacja śledzi naszą lokalizację, sposób poruszania się, prędkość i inne parametry, to także są dane, które możemy zabrać ze sobą.

Możemy zabrać swoją historię transakcji, ale już nie wyniki scoringu czy profil marketingowy

Niestety, nie możemy zabrać ze sobą tego, co w świecie usług internetowych jest najcenniejsze: wiedzy, jaką firmy pozyskują obserwując i analizując nasze zachowanie. W tej kwestii przepisy RODO i wytyczne Grupy Roboczej art. 29 są zgodne: dane, które zostały wygenerowane przez samego administratora, zostają u niego. Chodzi przede wszystkim o dane pochodne, czyli takie, których sami nie ujawniamy, ale które można na nasz temat ustalić dzięki profilowaniu i analizie statystycznej (np. wiarygodność kredytową, zainteresowania, skłonności zakupowe czy stan konta). Tych danych ze sobą nie zabierzemy, ale nadal możemy powalczyć o ich ujawnienie, korzystając z podstawowego prawa do informacji. O tym już w kolejnym odcinku :-)

Katarzyna Szymielewicz

Współpraca: Maria Wróblewska

Wspieraj naszą walkę o lepsze prawo ochrony danych! Wpłać darowiznę na konto Fundacji Panoptykon lub przekaż nam 1% swojego podatku (KRS: 0000327613).

Komentarze

Od dawna podejrzewa się że Facebook gromadzi i przetwarza dane osobowe ludzi którzy nie są jego użytkownikami (tzw. shadow profile). Zakładam że Facebook ma jakąś wiedzę na mój temat, mimo że nigdy nie miałem tam konta.

Czy po wejściu w życie RODO będę mógł zażądać żeby Facebook pokazał mi jakie posiada dane dotyczące mnie, a następnie je usunął? A jeśli tak, w jaki sposób (czy w ogóle?) będzie można sprawdzić że Facebook rzeczywiście je usunął i ich już nie przetwarza?

@Veris: Bynajmniej! RODO odbowiązuje każdą firmę, która zbiera dane o osobach znajdujących się na terenie UE. Także Facebooka, szczególnie, że ten ma od kilku lat siedzibę również w Irlandii... Polecam lekturę Art. 3 RODO:

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

2. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

a)     oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

b)     monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Teoretycznie RODO wyraźnie wskazuje, że każdy kto przetwarza dane obywatela UE, musi się poddać rygorom RODO. Ale szczerze mówiąc nie wierzę, aby Amerykanie się tym szczególnie przejęli. Ani Amerykanie, ani Rosjanie, ani Chińczycy.

A co z danymi osób niesłusznie posądzonych i opisanych nawet nazwiskiem w gazetach w internecie i w komentarzach. Przecież to musi zniknąć.

Takie sytuacje reguluje nie tylko RODO, ale (przede wszystkim) prawo cywilne (zniesławienie etc) i prawo prasowe (sprostowanie etc). Jeśli na gruncie tych innych przepisów zostało ustalone (np przez sąd albo, w niespornych przypadkach, przez samą redakcję) że wzmianka w gazecie jest nierzetelna, oczywiście, mamy prawo żądać usunięcia tych danych.

Co do komentarzy pod tekstem, tu wkracza procedura z UŚUDE (regulująca odpowiedzialność serwisu za treści umieszczane przez innych użytkowników). I analogicznie, jeśli serwis dostanie tzw. wiarygodną wiadomość dotyczącą naruszenia dóbr osobistych (ten komentarz jest nierzetelny!) uruchamia procedurę usuwania treści. Jeśli nie ma sprzeciwu autora, taki komentarz powinien zniknąć.

Takie sytuacje reguluje nie tylko RODO, ale (przede wszystkim) prawo cywilne (zniesławienie etc) i prawo prasowe (sprostowanie etc). Jeśli na gruncie tych innych przepisów zostało ustalone (np przez sąd albo, w niespornych przypadkach, przez samą redakcję) że wzmianka w gazecie jest nierzetelna, oczywiście, mamy prawo żądać usunięcia tych danych.

Co do komentarzy pod tekstem, tu wkracza procedura z UŚUDE (regulująca odpowiedzialność serwisu za treści umieszczane przez innych użytkowników). I analogicznie, jeśli serwis dostanie tzw. wiarygodną wiadomość dotyczącą naruszenia dóbr osobistych (ten komentarz jest nierzetelny!) uruchamia procedurę usuwania treści. Jeśli nie ma sprzeciwu autora, taki komentarz powinien zniknąć.

Jak wyglada sprawa danych osobowych w organizacjach religijnych, szczegolnie Kosciele Kat, Wersja "elektroniczna" i "papierowa". Czy przeniesienie danych do wersji papierowej zwalnia z RODO?

A ja mam pytanie odnośnie przetwarzania danych. Jak klient zarzada usunięcia jego danych w banku a miał zelgłosci w spłacie kredytu to czy usuna jego historie w BIK?

@Anonim, pracujemy nad materiałem opisującym kwestię ochrony danych osobowych w kościołach i związkach wyznaniowych

@Kamcia, prawo żądania usunięcia danych nie zawsze będzie skuteczne, bo administrator może odmówić usunięcia m.in. w sytuacji, w której przetwarzania danych wymaga od niego obowiązujące prawo. Nie mamy niestety w tej chwili możliwości szczegółowo tego analizować, ale myślę, że odpowiedź na Twoje można znaleźć w ustawie z 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, ale nie mamy na nią teraz czasu.

A teraz taka zagadka i case: firma A pozyskuje dane prezesów innych firm, dostępne publicznie w internecie, np. imię, nazwisko, email. Wysyła mailing zachęcający do kontaktu. Większość Prezesów korzysta z prawa do bycia zapomnianymi. Firma A usuwa ich dane i kopie tych danych. W jaki sposób firma A ma zapamiętać, że nie może się kontaktować z osobami, które kazały jej zapomnieć że się z nimi kontaktowała? Jeżeli taka firma tworzy własne bazy danych, to w jaki sposób ma "pamiętać" z kim nie może się kontaktować, skoro zobowiązana jest do usunięcia wszystkich danych. Nie może zostawić sobie kopii danych z zaznaczeniem "nie kontaktujemy się" bo to już jest przetwarzanie danych na których przetwarzanie nie ma zgody.

@Anonim
W Kościołach i związkach wyznaniowych w Polsce? Nic nie zdziałasz. http://wystap.pl bije się z KK o prawo do usuwania danych ateistów z ksiąg kościelnych po tym jak wystąpią z KK od dziesięciu lat, a kolejne sądy udają że sprawa nie istnieje albo że KK jest ponad prawem

Cześć, czy ustawodawca określa w jakim czasie administrator powinien usunąć dane z systemu po otrzymaniu takiej prośby?

Po mojej prośbie o usunięcie moich danych otrzymałem odpowiedź:
"Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy."

Cześć Kamilu,

Ta "odpowiedź", którą dostałeś, to po prostu cytat z RODO, niespejalnie nawet dostosowany do potrzeb komunikacji z człowiekiem... Na razie dowiedziałeś się tylko, że właściwą odpowiedź (tzn. czy administrator usunie Twoje dane, zgodnie z żądaniem) dostaniesz w ciągu 30 dni (z możliwością przedłużenia, jeśli sprawa jest skomplikowana). RODO nie precyzuje tego, jak szybko powinien *spełnić* Twoje żądanie, To, niestety, zależy od przypadku. Co do zasady administrator powinien działać niezwłocznie, więc - jeśli nic go nie blokuje - usunąć Twoje dane natychmiast po otrzymaniu takiego żądania (np. jeśli podstawą przetwarzania danych była wyłącznie Twoja zgoda, a Ty ją wycofałeś - już od tego momentu nie wolno przetzrawać danych). Ale często sytuacja jest bardziej skomplikowana. Np. jest przepis prawa, który nakazuje firmie trzymać Twoje dane dłużej (np. w przepisy bankowe, przepisy podatkowe, ZUS..), to na samo usunięcie będziesz musiał poczekać. Powinieneś zostać o tym poinformowany w tej odpowiedzi, która nadejdzie w ciągu miesiąca.

 

RODO,mozna skutecznie przywalic w firmy windykacyjne,BIK,KRD-bo to są instytucje prywatne,i można zażądać usunięcia swoich danych na zawsze.RODO przewiduje wielkie, nawet milionowe kary dla tych, którzy pozyskują i wykorzystują nasze dane osobowe wbrew naszej woli.RODO daje prawo do zapomnienia, także w Internecie, czyli obowiązek wykreślenia naszych danych z posiadanej przez obcy podmiot bazy na każde nasze żądanie.RODO jest o wiele bardziej rygorystyczne niż jakiekolwiek do tej pory prawo chroniące prywatność.Na ZUS,US,czy Komornika ten przepis nie będzie działać ponieważ to są instytucje państwowe,ale na Banki juz tak.

w jakim terminie od złożenia pisemnego wniosku z żądaniem usunięcia np zdjęć ze strony firmowej na fb administrator powinien to wykonać?

@mala: Administrator ma 30 dni na odniesienie się do Twojego wniosku. Ten termin może w niektórych sytuacjach przedłużyć o trzy miesiące, ale i tak w ciągu 30 dni musi Cię o tym przedłużeniu poinformować.

Jest sobie firma, która wydzwania do ludzi mówiąc, że wylosowali mój numer spośród mieszkańców mojej miejscowości (i tutaj podają jej nazwę). Na pytanie co jeszcze o mnie wiedzą, odsyłają na swoją "infolinię" płatną 2,08 zł za minutę (703-303-303). Po zwróceniu na to uwagi udają wielkie zdziwienie, ale potem mówią że w razie czego przecież wyświetlił się numer z którego dzwonią, a tymczasem nie da się na niego oddzwonić. Z resztą, co jakiś czas ten numer sobie zmieniają. Adres? Podają ul. Karola Libelta 1a/2 w Poznaniu, a to adres "wirtualnego biura", które to przekazuje korespondencję na prawdziwy adres firmy (swoją drogą, nie miałem pojęcia, że taki syf-biznes istnieje). Mogę coś do nich wysłać, ale wtedy będą znać już nie tylko miasto i telefon, ale i prawdziwy adres. Mówię żeby zaprzestali przetwarzania moich danych osobowych i usunęli je od wszelkich firm zależnych. Oczywiście bez skutku.
Firma zajmuje się pokazami, na które wciskają emerytom do podpisu umowy na grube tysiące na jakieś bezwartościowe gary. Młodych ludzi ponoć ze spotkań wypraszają z jakimś tandetnym "upominkiem" na otarcie łez.
Jestem prawie pewny, że pozyskali moje informacje jak zaczepiła mnie babka w supermarkecie, że chce zrobić ze mną ankietę. Godziny były przedpołudniowe, czyli pora, gdzie w marketach są w zasadzie tylko emeryci (podatni na manipulacje) i matki z dziećmi. Nie podałem żadnych danych, ale babka wymęczyła bym podał telefon - "bo czasem dzwonią żeby potwierdzić, czy faktycznie zrobiła ankietę z człowiekiem, a nie sama sobie wypełniła". Serce zmiękło i podałem. A teraz dzwonią.
Co zrobić żeby to ukrócić i jednocześnie by nie oddać im jeszcze więcej danych?

Dodam, że znam tylko ich numer telefonu z którego dzwonią plus różne nazwy, które się co chwilę zmieniają. Firma pewnie też zarejestrowana na jakiegoś słupa. Wiec kogo tu oskarżać i o co? Ech... :/

@Anonim, niestety nie ma czarodziejskiej różdżki, która pozwala jednym ruchem pozbyć się firm, które działają na granicy prawa lub wręcz je łamią. Dlatego nie znam łatwego i skutecznego rozwiązania problemu, o którym Pan pisze.

Nie zgłębialiśmy dotychczas bliżej tematu telemarketinku, ale planujemy obecnie dalsze teksty dotyczące stosowania RODO w różnych sektorach (na razie napisaliśmy o szkole i kościele, w przyszłym tygodniu będzie artykuł o służbie zdrowia). Mam nadzieję, że napiszemy też więej o tej sprawie.

 

Witam, mam pytanie. Zgłosiłam się do redakcji gazety, aby umieścić ogłoszenie w gazecie, które się ukazało. Czy mam prawo żądać usunięcia moich danych tj. formularz zamieszczenia ogłoszenia oraz z systemu w komputerze Pani, która przyjmowała ogłoszenie?

Mam pytanie odnośnie usunięcia danych osobowych, zdjęć i wpisów z portali medialnych. Mam problem, bo informacja, która ukazała się kiedyś, a nie jest już aktualna, skutecznie utrudnia mi życie. Po wpisaniu mojego nazwiska i imienia Google indeksuje właśnie tę informację, której nie chcę wyświetlać. Po wysłaniu prośby do portalu o usunięcie danych dostałam poniższą odpowiedź:

"Szanowna Pani,

w związku z wniesieniem przez Panią żądania usunięcia danych spełniającym przesłanki sprzeciwu co do przetwarzania danych osobowych informujemy, iż zgodnie z treścią art 2 ust.1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz.U. z 2018 r. poz. 1000) do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U. poz. 24, z późn. zm.4)), a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5-9, art. 11, art. 13-16, art. 18-22, art. 27, art. 28 ust. 2-10 oraz art. 30 rozporządzenia 2016/679.

Wskazany przez Panią artykuł stanowi materiał prasowy w rozumieniu art 7 ust.2 pkt 4 w/w ustawy (materiałem prasowym jest każdy opublikowany lub przekazany do opublikowania w prasie tekst albo obraz o charakterze informacyjnym, publicystycznym, dokumentalnym lub innym, niezależnie od środków przekazu, rodzaju, formy, przeznaczenia czy autorstwa), gdyż serwis poranny.pl spełnia przesłanki prasy w rozumieniu art 7 ust.2 pkt 1 w/w ustawy (prasa oznacza publikacje periodyczne, które nie tworzą zamkniętej, jednorodnej całości, ukazujące się nie rzadziej niż raz do roku, opatrzone stałym tytułem albo nazwą, numerem bieżącym i datą, a w szczególności: dzienniki i czasopisma, serwisy agencyjne, stałe przekazy teleksowe, biuletyny, programy radiowe i telewizyjne oraz kroniki filmowe; prasą są także wszelkie istniejące i powstające w wyniku postępu technicznego środki masowego przekazywania, w tym także rozgłośnie oraz tele- i radiowęzły zakładowe, upowszechniające publikacje periodyczne za pomocą druku, wizji, fonii lub innej techniki rozpowszechniania; prasa obejmuje również zespoły ludzi i poszczególne osoby zajmujące się działalnością dziennikarską).

Co za tym idzie w tym wypadku nie mają zastosowania przepisy art 21 RODO (prawo do wniesienia sprzeciwu) wyłączone w/w przepisami ustawy o ochronie danych osobowych, ani powiązane z tym przepisem przepisy art 17 RODO (prawo do bycia zapomnianym). Jednocześnie przedmiotowe zdjęcie nie narusza przepisów prawa prasowego w zakresie ochrony wizerunku.
Jednocześnie informujemy, że Polska Press Sp. z o.o. nie przekazuje danych tj. zdjęcia czy teksty do wyszukiwarki Googla. Wyszukiwarka Googla samodzielnie indeksuje nasze strony internetowe (jak i cały Internet), zatem prośbę/ewentualną prośbę o usunięcie danych z wyszukiwarki prosimy kierować bezpośrednio do właściciela wyszukiwarki."

Jak mam skorzystać ze swojego prawa w takiej sytuacji, czy może w ogóle nie ma możliwości usunięcia takich danych?

Droga @Joanno, nie znam szczegółów sprawy, w szczególności nie wiem, jakiego materiału dotyczy, więc trudno mi jednoznacznie ocenić tę sytuację. Rozumiem jednak, że chciałabyś skorzystać z "prawa do bycia zapomnianym" (art. 17 RODO). Art. 17 nie jest co prawda objęty tzw. wyjątkiem dziennikarskim (czyli jego zastosowanie do prasy nie jest odgórnie wyłączone), ale trzeba wziąć pod uwagę, że nie ma on charakteru absolutnego. W szczególności nie ma on zastosowania, w zakresie w jakim przetwarzanie danych "jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji". Co do zasady uważam, że archiwalne materiały prasowe w sieci podlegają mocnej ochronie wynikającej z wolności słowa i w związku z tym usuwanie z nich informacji (w tym danych osobowych) jest uzasadnione jedynie w wyjątkowych przypadkach. Zależy to od wielu czynników (m.in. przedmiotu i celu spornego materiału, statusu osoby, której on dotyczy etc.), które mają wpływ na ważenie spornych interesów występujących w takiej sprawie (z jednej strony Twoje prawo do prywatności i ochrona danych, z drugiej strony wolność słowa). Sam fakt, że zawarta w tekście nieaktualna informacja na Twój temat jest obciążająca dla Twojej reputacji nie jest wystarczającym powodem. Jeśli uważasz, że w Twoim przypadku mamy jednak do czynienia z takimi wyjątkowymi okolicznościami, które "przechylają szalę" na rzecz Twojego prawa do prywatności, powinnaś poinformować o nich administratora danych (wydawcę). Nawet jeśli jednak nie ma powodu, żeby usuwać Twoje dane (tzn. dojdziemy do wniosku, że wolność słowa ma w tym przypadku priorytet), zasadne może być np. domaganie się dodania adnotacji do pierwotnego tekstu, która będzie informować o aktualnym stanie rzeczy. W ten sposób nie "gumkujemy" historii, a jednocześnie dajemy czytelnikom, którzy dziś dotrą do tego archiwalnego materiału, pełniejszy obraz sytuacji. Więcej na ten temat możesz poczytać np. w tym raporcie: Media online archives - a source for historical research or a threat to privacy?

Alternatywnie możesz też spróbować wypełnić wniosek o usunięcie danych z wyszukiwarki Googla (jesli wniosek zostanie uwzględniony oryginalny materiał zostanie na stronie, ale po wpisaniu Twojego imienia i nazwiska w oknie wyszukiwania, Google nie będzie wyrzucał linku do wskazanego artykułu): https://www.google.com/webmasters/tools/legal-removal-request?complaint_...  

Dodaj komentarz