O czym należy pamiętać? Czas, aby nadać sens art. 17 GDPR z punktu widzenia administratorów danych
Uznanie przez Trybunał Sprawiedliwości Unii Europejskiej prawa do uzyskania usunięcia swoich danych osobowych wyświetlanych w wynikach wyszukiwarki (sprawa C-131/12, Google Spain, EU:C:2014:317) otworzyło dyskusje polityczne na temat warunków, na jakich dane osób fizycznych mają być usuwane przez administratorów danych. Zwieńczeniem tych dyskusji był art. 17 nowego ogólnego rozporządzenia o ochronie danych 2016/679 (GDPR), w którym wyraźnie stwierdzono, że każda osoba, której dane dotyczą, ma prawo do uzyskania od administratora usunięcia dotyczących jej danych osobowych bez zbędnej zwłoki, a administrator ma obowiązek usunięcia danych osobowych bez zbędnej zwłoki. Prawo to nie jest bezwarunkowe, ponieważ przedmiotem takiego żądania mogą być jedynie dane, które nie są już potrzebne lub zostały zgromadzone niezgodnie z prawem. Ponadto, w zakresie, w jakim przetwarzanie danych jest konieczne ze względu na interes publiczny, nie można powoływać się na to prawo.
Pomimo wyraźnego uznania, dokładnego zakresu prawa do bycia zapomnianym nie da się jednoznacznie wyprowadzić z brzmienia art. 17 GDPR. W istocie, nawet pobieżna lektura tego przepisu pozwala od razu wyróżnić dwie różne interpretacje tego prawa. Z jednej strony, prawo do bycia zapomnianym mogłoby być rozumiane jedynie jako obejmujące uprawnienie do zwykłego usunięcia danych, tj. zwykłego technicznego usunięcia danych z wyników wyszukiwania lub baz danych. Z drugiej strony, w tym kontekście można by również przewidzieć bardziej podstawowe zobowiązanie do zapewnienia trwałego usunięcia danych, tzw. podejście "zapomnienia". W całym GDPR można znaleźć odniesienia do obu podejść jednocześnie.
Podejście oparte na usuwaniu danych
Opowiadając się za podejściem opartym na zwykłym usuwaniu danych, można by argumentować, że przepis mówi jedynie o usuwaniu danych. W związku z tym nie wydaje się, by nakładał on obowiązek trwałego usunięcia tych danych z systemów przetwarzania administratora. Jednocześnie jednak motyw 65 GDPR wydaje się sugerować, że dalsze zatrzymywanie danych powinno być uniemożliwione w przypadku złożenia skutecznego wniosku o usunięcie danych. W ten sam sposób GDPR wymaga, aby "administrator, który upublicznił dane osobowe, był zobowiązany do poinformowania administratorów, którzy przetwarzają te dane osobowe, o konieczności usunięcia wszelkich linków do tych danych osobowych, ich kopii lub replikacji" (motyw 66). W związku z tym rozporządzenie może być również odczytywane jako wzywające do szerszego podejścia do kwestii zapomnienia.
Brak jasności co do zakresu art. 17 prawdopodobnie spowoduje problemy praktyczne z punktu widzenia administratorów danych, którzy mają go wdrożyć w swoich codziennych praktykach biznesowych. W przypadku konieczności zastosowania art. 17, podejścia polegające na usuwaniu i zapominaniu wiązałyby się z różnymi obowiązkami w zakresie zgodności dla tych przedsiębiorstw.
Z jednej strony, podejście polegające na usuwaniu danych wymagałoby od administratorów danych jedynie dysponowania narzędziami zapewniającymi, że na wniosek osoby fizycznej jej dane osobowe nie będą już wyświetlane. Dane te mogą być nadal przechowywane i pozostawać na serwerach administratora danych w zasadzie do ewentualnego przyszłego - i dozwolonego - wykorzystania lub mogą nawet być zatrzymywane do celów egzekwowania prawa w kontekście obowiązujących i ważnych przepisów dotyczących zatrzymywania danych.
Podejście do zapomnienia
Z drugiej strony wydaje się, że podejście oparte na zapomnieniu zobowiązywałoby administratorów danych do trwałego usunięcia danych osobowych ze swoich serwerów, a nie do uczynienia ich niedostępnymi. Podejście to zakłada, że na wniosek osoby, której dane dotyczą, wszystkie istotne dane są trwale usuwane i że muszą istnieć narzędzia technologiczne, które to umożliwią. W takim przypadku prawo UE wymagałoby całkowitego i trwałego usunięcia historii transakcji handlowych danej osoby z platformy sprzedaży online lub od jakiegokolwiek innego administratora danych. W ten sam sposób można by zażądać, aby roboty lub urządzenia robotyczne w domach osobistych, które rejestrują dane, posiadały funkcję usuwania wszystkich prywatnych lub osobistych danych zarejestrowanych jako efekt uboczny ich codziennej działalności. W zakresie, w jakim zapomnienie byłoby preferowanym podejściem, przedsiębiorstwa musiałyby lub mogłyby wprowadzić w praktyce środki automatycznego i ex ante usuwania nieistotnych danych osobowych ze swoich magazynów danych w celu zapewnienia zgodności z art. 17 GDPR. Obecnie nie jest jednak jasne, w jakim stopniu taka proaktywna strategia usuwania danych jest w ogóle zgodna z ramami prawnymi UE i państw członkowskich w zakresie ochrony i zatrzymywania danych.
W tym względzie można by nawet spekulować, że charakter administratora danych może uzasadniać nałożenie różnych obowiązków związanych z prawem do bycia zapomnianym na różnych administratorów. W związku z tym podejście polegające na usuwaniu danych uważa się za bardziej wykonalne w niektórych sektorach, takich jak wyszukiwarki, podczas gdy podejście polegające na zapominaniu jest preferowane w innych, np. w kontekście robotów wchodzących w interakcje z ludźmi. GDPR nie wspomina nawet o znaczeniu takiego rozróżnienia.
Potrzeba wyjaśnień
W świetle powyższej niepewności co do dokładnego zakresu art. 17 GDPR oraz różnych konsekwencji w zakresie zgodności, jakie pociągają za sobą różne interpretacje tego przepisu, bardzo pożądany byłby komunikat wyjaśniający, który wyjaśniłby zakres tego przepisu i konkretne kroki, jakie należy podjąć w celu jego wdrożenia. Najlepiej, gdyby autorem komunikatu była Komisja Europejska lub grupa robocza organów ochrony danych państw członkowskich, komunikat musiałby zawierać konkretne wskazówki dla administratorów danych, którzy muszą zmierzyć się z wnioskami o prawo do bycia zapomnianym. Jeśli zostanie wybrana opcja polityczna, zalecałbym nawet, aby w komunikacie dokonano rozróżnienia między różnymi rodzajami administratorów danych i rozważono podjęcie przez nich specjalnie dostosowanych kroków "usuwania" lub "zapominania" w zależności od ich szczególnej działalności. W ten sposób można by opracować bardziej szczegółowe kroki w zakresie zgodności z "prawem do bycia zapomnianym" w odniesieniu do konkretnych działań związanych z ochroną danych podejmowanych przez różnych administratorów, co pomogłoby lepiej zrozumieć i stosować prawo do bycia zapomnianym przewidziane w art. 17 GDPR. Aby uniknąć sytuacji, w której prawo do bycia zapomnianym stanie się bezzębnym potworem, gdy GDPR zacznie obowiązywać w maju 2018 r., teraz jest dobry moment na podjęcie takich działań.
Pieter Van Cleynenbreugel jest profesorem prawa europejskiego na Wydziale Prawa, Nauk Politycznych i Kryminologii Uniwersytetu w Liege oraz współdyrektorem Liege Competition and Innovation Institute (LCII). Wykłada prawo materialne Unii Europejskiej oraz kilka kursów specjalistycznych. Posiada tytuł doktora nauk prawnych KU Leuven oraz dodatkowy tytuł magistra prawa gospodarczego Uniwersytetu Harvarda. Jego badania koncentrują się na jednolitym rynku cyfrowym, europejskim prawie konkurencji oraz europejskim prawie administracyjnym.
