Pierwsze doświadczenia związane ze stosowanie RODO wskazują na kilka kluczowych problemów związanych z funkcjonowaniem nowych regulacji prawnych odnoszących się do ochrony danych osobowych. Odnosząc się do podstawowych założeń RODO należy wskazać, iż celem tego aktu jest uniemożliwienie swobodnego dysponowania przez różne podmioty (administratorów) danymi osobowymi osób fizycznych. Z założenia ten akt prawny ma ułatwić przywrócenie kontroli podmiotów danych nad danymi osobowymi ich dotyczącymi, tak aby w szerszym kontekście przyczynić się do ochrony prywatności podmiotów danych, narażonych na ingerencje ze strony nieuprawnionych podmiotów, w tę bardzo specyficzną i dynamiczną sferę praw jednostki, jaką jest sfera danych osobowych.

Ponieważ interes ekonomiczny administratorów opiera się właśnie na przetwarzaniu Państwa danych osobowych, dlatego bardzo często nie są oni skłonni do realizacji obowiązków wynikających z przepisów prawa – RODO. Dlatego Biuro Prawno – Rachunkowe Macieja Skorupińskiego sp. z o.o. wspomaga Państwa w procesie usuwania danych osobowych i realizacji prawa do sprzeciwu oraz zapomnienia.

Bardzo mocno ograniczone uprawnienia do przetwarzania danych osobowych po stronie administratorów jednocześnie stwarzają określone możliwości kontroli przetwarzania swoich danych osobowych po stronie podmiotów danych, a więc osób fizycznych. To administrator musi zadbać o przetwarzanie danych osobowych zgodnie z RODO, a więc w pierwszej kolejności o podstawę prawną przetwarzanie danych osobowych zgodną z obowiązującym RODO. Brak takiej podstawy prawnej stanowi naruszenie prawa, które może skutkować bardzo wysokimi karami finansowymi, a w niektórych przypadkach nawet odpowiedzialnością karną za popełnienie przestępstw.

Ponieważ przetwarzanie danych osobowych jest swoistym wyjątkiem od reguły, która zakazuje przetwarzania tych danych, w związku z tym zostały stworzone szczególne instrumenty po stronie osób fizycznych, umożlwiające przeciwdziałanie niezgodnemu z prawem przetwarzaniu danych osobowych ich dotyczących. Należy jednak zaznaczyć, iż nie zawsze będzie możliwym korzystanie z takich instrumentów, gdyż prawo dopuszcza przypadki możliwości przetwarzania danych osobowych wbrew woli podmiotu danych (osoby fizycznej), jednakże muszą być to sytuacje zupełnie szczególne.

Głównym uprawnieniem związanym z kontrolą nad przetwarzaniem danych osobowych, jest możliwość żądania przez osobę fizyczną usunięcia tych danych przez administratora, który je przetwarza, a więc tzw. prawo do bycia zapomnianym. RODO wskazuje kilka przesłanek, kiedy można żądać usunięcia danych osobowych np. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie czy też dane osobowe były przetwarzanie niezgodnie z prawem. Jedna z przesłanek usunięcia związana jest z tzw. prawem do sprzeciwu w stosunku do przetwarzania danych osobowych. Natomiast sprzeciw może być wniesiony ze względu na szczególną sytuację podmiotu danych, która to sytuacja związana może być np. z ochroną prawa do prywatności. Należy z dużą ostrożnością podchodzić do tej przesłanki, gdyż nie można w sposób zasadniczy przerzucać na osobę chronioną prawem obowiązku wykazania, iż to administrator nie ma jednak prawa do przetwarzania jej danych osobowych. Z założeń RODO wynika jasno, iż generalnie to po stronie administratora ciąży obowiązek wykazania interesu, a zgłoszenie przez osobę fizyczną żądania usunięcia danych osobowych powinno być traktowane właśnie, jako powstanie owej szczególnej sytuacji, gdyż w innym wypadku dojdzie do nieuprawnionego uprzywilejowania administratora, a dodatkowo wprowadzanie wymogu przedstawiania administratorowi swojej szczególnej sytuacji przez osobę fizyczną, należałoby traktować jako potencjalne zagrożenie dla sfery prywatności i dóbr osobistych osoby fizycznej.

Żądaniem usunięcia można objąć wszystkie dane osobowe posiadane przez danego administratora, ale także można wskazać, które z posiadanych danych chcemy, aby zostały usunięte, a które administrator może nadal przetwarzać. Podobnie jednak jak w przypadku możliwości całkowitej odmowy usunięcia danych osobowych, tak i w tym przypadku mogą istnieć po stronie administratora podstawy prawne umożliwiające mu, a wręcz zobowiązujące go do odmowy usunięcia konkretnych danych odnoszących się do osoby kierującej żądanie.

Proces usunięcia danych osobowych musi rozpocząć się od wezwania administratora danych do usunięcia danych osobowych skierowanego do niego przez osobę fizyczną, której owo żądania dotyczy. Oczywiście jak wiele innych czynności, także i tę można dokonać przez pełnomocnika. W dalszej kolejności administrator ma obowiązek ustosunkować się do przesłanego wezwania, a w efekcie poinformować o podjętych działaniach albo ich braku osobę, której dane dotyczą. Reakcja administratora będzie uzależniona od tego, w oparciu o jaką podstawę prawną przetwarza dane osobowe, a więc czy jest zobowiązany zastosować się do wezwania i usunąć dane, czy też ma nadal uprawnienia, a niekiedy wręcz obowiązek, ich dalszego przetwarzania. Odpowiedź udzielona przez administratora oraz podjęte przez niego działania są jednak w znacznym stopniu determinowane przez jego znajomość i zrozumienie prawa ochrony danych osobowych. Udzielając odpowiedź odmownej administrator powinien przede wszystkim wskazać, jakie przesłanki skłoniły go do odmowy zastosowania się do wezwania. Dodatkowo kluczowym obowiązkiem istniejącym po stronie administratora jest poinformowanie wnioskującego podmiotu danych (osoby fizycznej) o przysługujących jest środkach ochrony prawnej, w tym skargach do Urzędu Ochrony Danych Osobowych oraz sądu.

A więc w przypadku uzyskania odmownej odpowiedzi od administratora w przedmiocie usunięcia naszych danych osobowych mamy możliwość złożenia skargi do Urzędu Ochrony Danych Osobowych. Ze względu na konstrukcje prawne, wydaje się iż jest to najlepszy i najbardziej efektywny środek ochrony swoich praw z zakresu danych osobowych. Skarga może być także złożona w przypadku braku jakiejkolwiek reakcji ze strony administratora, do którego zapytanie zostało skierowane. Obejmuje ona wtedy po pierwsze, brak odpowiedz na skierowane do administratora żądnie, a więc brak ustosunkowania się do żądania, do czego administrator zobowiązany jest prawnie; po drugie, dotyczy braku usunięcia żądanych danych.

Warto w tym miejscu zwrócić uwagę, iż ponieważ przepisy RODO odnoszą się do osób fizycznych, nie ma podstawy do tego, aby nie chronić ich danych, w sytuacji gdy działają one w ramach prowadzonej działalności gospodarczej, jako przedstawiciele osoby prawnej. Zgodnie z motywem 14 RODO, który ma znaczenie interpretacyjne, RODO odnosi się do danych osobowych osób fizycznych, natomiast nie stosuje się jego przepisów do „przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. Niniejszy zapis wyraźnie stanowi wyłączenie, ale tylko odnośnie danych identyfikacyjnych (osobowych) osoby prawnej, natomiast wyłączeniu od stosowania RODO nie podlegające dane osób fizycznych związanych z daną osobową prawną. Przyjęcie innej interpretacji stanowiłoby naruszenie podstawowych celów realizowanych przez RODO, a także byłoby niezgodne z jasnym zapisem przywołanego motywu 14, gdzie mowa o danych dotyczących danej osoby prawnej, w tym jej danych kontaktowych. Należy pamiętać, iż z punktu widzenia prawa, osoby prawne są bytami niezależnymi od osób fizycznych (czy innych osób prawnych) je tworzących. Są autonomicznym podmiotem praw i obowiązków przynależnych im, a nie ich założycielom. Owa autonomia działa także w drugą stronę, to znaczy pozwala na traktowanie osób fizycznych, jako podmiotów prawnych niezależnych od osób prawnych, nawet jeśli te osoby prawne są tworzone przez określone osoby fizyczny. Owa separacja obejmuje także regulacje odnoszące się do ochrony danych osobowych, gdyż czym innym są dane osobowe osoby prawnej, a czym innym dane osobowe osoby fizycznej, taką osobę prawną tworzącą.

Jednym z motywów wprowadzonych zmian w systemie ochrony danych osobowych w Unii Europejskiej była chęć ograniczenia wykorzystywania przez przedsiębiorców danych osobowych zupełnie nieświadomych osób fizycznych do zarabiania na tych danych, a pośrednio traktowania dobra osobistego, jakim są dane osobowe, jak normalnego towaru handlowego. Dlatego też, należy uznać, iż jeśli mamy do czynienia z de facto prowadzeniem działalności zarobkowej przez administratora w oparciu o dobro osobiste osoby fizycznej, to tak naprawdę bez wyraźnej zgodny podmiotu danych, administrator nie ma prawa przetwarzać owych danych osobowych w tych celach.