Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

CUD, czyli usuwanie danych osobowych krok po kroku

02-06-2020 Autor: Mariola Więckowska

Prawo do usunięcia danych, zwane też prawem do bycia zapomnianym, zostało wskazane w art. 17 oraz motywach 65 i 66 rodo. Każda osoba, której dane dotyczą, może żądać ich usunięcia, jednak tylko w ściśle określonych okolicznościach.

 

Każdy administrator, przygotowując się do wypełniania tego prawa, powinien m.in.:

  1. ustalić w organizacji zasady rozpoznawania wniosków;
  2. ustalić zasady działania procesu zgłaszania i rejestrowania wszystkich otrzymywanych wniosków;
  3. wdrożyć proces realizacji wniosków, w tym o usunięcie danych, w zależności od celu i podstawy prawnej przetwarzania danych;
  4. wdrożyć proces udzielenia odpowiedzi bez zbędnej zwłoki w wymaganym przepisami czasie;
  5. ustalić okoliczności, w jakich może nastąpić przedłużenie terminu usunięcia danych;
  6. objąć szczególną uwagą żądania usunięcia danych dotyczących dzieci;
  7. stosować procedury informowania o usunięciu danych wszystkich odbiorców, którym dane zostały udostępnione;
  8. wdrożyć proces CUD polegający na ustaleniu metody usuwania lub anonimizacji danych.

Ponieważ rodo nie określa formy wniosku, to osoba może złożyć go w dowolny sposób, w tym ustnie, telefonicznie, pisemnie lub poprzez wiadomość e-mail. Wniosek może być przesłany do dowolnej siedziby organizacji i nie musi być skierowany do konkretnej osoby ani punktu kontaktowego. Nie ma również wymogu, aby zawierał on wyrażenia „żądanie usunięcia” lub przywołanie art. 17 rodo. Istotne jest zatem zbudowanie świadomości w obszarze wypełniania praw wśród pracowników lub współpracowników, którzy mają kontakt z podmiotami danych.


Ile mamy czasu na wykonanie wniosku o usunięcie danych?


Żądanie usunięcia danych wykonuje się bez zbędnej zwłoki, jednak nie później niż w ciągu miesiąca od otrzymania żądania. Jeśli administrator nie miał wystarczających danych do jednoznacznego potwierdzenia tożsamości wnioskodawcy, czas na wykonanie wniosku będzie się liczył od momentu ich uzyskania.


Kiedy prośba jest złożona i wymaga weryfikacji dużej ilości systemów i baz danych lub osoba przesłała wiele wniosków, to czas na ich wypełnienie może zostać wydłużony o kolejne 2 miesiące. W przypadku wydłużenia okresu wypełnienia żądania należy bezwzględnie powiadomić wnioskodawcę w ciągu miesiąca od otrzymania jego prośby, wyjaśniając, dlaczego przedłużenie jest konieczne. Należy też poinformować osobę o prawie do złożenia skargi do UODO i możliwości egzekwowania tego prawa przez sądy.


Czy można poprosić osobę o dodatkowe informacje pozwalające na weryfikację jej tożsamości?


Tak. Jeżeli administrator ma wątpliwości co do tożsamości osoby składającej wniosek, może poprosić o dodatkowe niezbędne informacje potwierdzenia jej tożsamości. Należy przy tym pamiętać o zasadzie minimalizacji danych (art. 12 ust. 6 rodo). W ciągu 1 miesiąca informuje się osobę o konieczności przekazania dodatkowych informacji umożliwiających potwierdzenie jej tożsamości.

 

Zasady wypełniania prawa


Wypełnianie praw podmiotów danych, co do zasady, jest wolne od opłat. Administrator jedynie w uzasadnionych sytuacjach, w których wykaże, że żądanie jest bezzasadne lub nadmierne, może naliczyć „uzasadnioną opłatę” za koszty administracyjne związane z jego wykonaniem.


Jeżeli administrator zdecyduje się pobrać opłatę za wykonanie wniosku, to niezwłocznie informuje podmiot danych o kosztach, które są z tym związane. Administrator może poczekać ze spełnieniem żądania do momentu otrzymania opłaty (alternatywą jest odmowa spełnienia żądania jako nadmiarowego).


Informowanie innych podmiotów o usunięciu danych


Jeżeli dane osobowe zostały udostępnione innym podmiotom lub zostały upublicznione, administrator powinien skontaktować się z każdym odbiorcą i poinformować go o usunięciu danych oraz wszelkich łączy do nich, chyba że okaże się to niemożliwe lub wymaga niewspółmiernie dużego wysiłku.


„Odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców.


Przy podejmowaniu decyzji, jakie kroki są racjonalne w celu poinformowania administratorów o żądaniu osoby, której dane dotyczą, należy każdorazowo wziąć pod uwagę dostępną technologię i dostępne środki.

 

[...]

 

Autorka jest ekspertem ochrony danych oraz doświadczonym DPO; pracuje w LexDigital jako Head of Innovation Technologies.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.