2 lipca 2024 roku litewski organ ochrony danych nałożył administracyjną karę pieniężną w wysokości ponad 2,3 mln euro na spółkę Vinted UAB, operatora platformy sprzedażowej oraz powiązanej z nią aplikacji umożliwiającej użytkownikom sprzedaż i zakup używanych ubrań.
Postępowanie zostało zainicjowane na skutek skarg przekazanych przez organy ochrony danych osobowych z kilku europejskich krajów, w tym przez polski Urząd Ochrony Danych Osobowych w 2021 i 2022 roku. Użytkownicy serwisu w skargach zarzucali, że spółka nie realizuje ich żądań związanych m.in. z prawem do bycia zapomnianym (art. 17 RODO).
Firma informowała osoby, które wnioskowały o usunięcie ich danych, że nie podejmie w ich sprawie żadnych działań, gdyż we wniesionych przez nich żądaniach brak było wskazania „konkretnych podstaw” zgodnie z treścią art. 17 RODO.
Spółka nie wdrożyła też odpowiednich środków technicznych i organizacyjnych, aby spełnić wymogi związane z realizacją zasady rozliczalności, by móc wykazać, że podjęła lub zasadnie odmówiła podjęcia działań w oparciu o żądanie prawa dostępu do danych [1].
Na kanwie tej sprawy przyjrzyjmy się tematyce unormowanego w art. 17 RODO tzw. prawa do bycia zapomnianym, co znaczy ni mniej ni więcej jak prawo do usunięcia danych osobowych.
Chodzi bowiem o to, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
- dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
- osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania;
- osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania
- dane osobowe były przetwarzane niezgodnie z prawem;
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
- dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
Przepisy nie precyzują, w jakiej formie podmiot danych osobowych powinien zwrócić się do administratora z żądaniem ich usunięcia. Dlatego należy przyjąć, że forma ta jest dowolna zwłaszcza, że zgodnie z art. 12 ust. 2 RODO administrator ma obowiązek ułatwić podmiotowi danych osobowych wykonywanie przysługujących mu praw.
W związku z tym administrator powinien po pierwsze – posiadać w organizacji opracowaną procedurę realizacji praw osób, których dane dotyczą, a po drugie – realizować ją w praktyce. Postępowanie w sprawie wniosku o usunięcie danych sprowadza się (w dużym uproszczeniu) do sprawnej identyfikacji i klasyfikacji wniosku, weryfikacji tożsamości osoby występującej z żądaniem, analizy i oceny zasadności wniosku, podjęcia (bądź nie) odpowiedniego działania i odpowiedzi na wniosek.
Przy czym analiza i ocena tego, czy zachodzą podstawy do pozytywnego rozpatrzenia wniosku osoby, której dane dotyczą należy zawsze do administratora. Administrator nie może „przerzucać” tego obowiązku na podmiot danych osobowych. I w tym sensie – administrator nie może wymagać wskazania podstaw (w tym podstaw prawnych) uzasadniających konkretne żądanie. Nie może uzależniać rozpoczęcia procedury związanej z realizacją praw osób, których dane dotyczą, od tego wskazania.
[1] https://uodo.gov.pl/pl/138/3216