Prawo do bycia zapomnianym

Prawo do bycia zapomnianym: Aktualne wyzwania w dobie cyfryzacji

Jak wynika z badania przeprowadzonego przez firmę Surfshark, tylko w latach 2015-2021 do firmy Google i Microsoft Bing wpłynęło ponad milion wniosków dotyczących chęci skorzystania z tzw. prawa do bycia zapomnianym. Okazuje się, że niemal połowa z nich pochodziła z krajów Europy Zachodniej, w tym m.in. z Polski, która zajęła aż 7 (z 32) miejsce z wynikiem niemal 32 tysięcy zgłoszeń. Biorąc jednak pod uwagę rosnące zainteresowanie kwestiami ochrony danych osobowych, dziś liczba takich wniosków jest prawdopodobnie jeszcze wyższa.

O czym mówi prawo do bycia zapomnianym?

Prawo do bycia zapomnianym, a dokładnie prawo do usunięcia danych, stanowi jeden z fundamentów ochrony prywatności użytkowników, który przysługuje im na mocy RODO (art. 17). Zgodnie z nim dana osoba ma prawo żądać usunięcia swoich danych osobowych, jeżeli ich dalsze przetwarzanie nie jest już niezbędne do realizacji określonego celu, dla którego były one gromadzone. Prawo obejmuje wszystkie osoby zamieszkujące kraje Unii Europejskiej Europejski Obszar Europejski oraz inne kraje, które przyjęły podobne prawa (m.in. Wielka Brytania, Szwajcaria),

W praktyce oznacza to możliwość zwrócenia się nie tylko do poprzedniego pracodawcy o usunięcie naszych danych, ale też do organów zarządzających wyszukiwarkami internetowymi z prośbą o usunięcie wszystkich zapytań związanych z naszym nazwiskiem z europejskich stron wyników wyszukiwania. Warto jednak podkreślić, że administrator danych osobowych ma możliwość odmowy usunięcia danych w sytuacji, gdy istnieje obowiązek ich przechowywania, np. w celach podatkowych lub księgowych.

Kiedy można skorzystać z prawa do bycia zapomnianym?

Osoba fizyczna może domagać się niezwłocznego usunięcia swoich danych osobowych, a administrator ma obowiązek przeprowadzenia tego procesu bez zbędnej zwłoki, gdy zajdą następujące okoliczności:

  • dane osobowe nie są niezbędne do celów, w których zostały zebrane;
  • osoba, której dane dotyczą, wycofała zgoda, na której opiera się przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania;
  • osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania swoich danych osobowych i nie występują żadne podstawy prawne do kontynuacji tego;
  • dane osobowe były przetwarzane niezgodnie z prawem.

W Internecie nic nie ginie – ograniczenia w respektowaniu prawa do bycia zapomnianym

Biorąc pod uwagę praktycznie nieograniczony przepływ danych osobowych w Internecie, prawo do bycia zapomnianym staje się jednym z najważniejszych narzędzi w celu ochrony prywatności użytkowników. Niestety, niejednokrotnie widzimy, że respektowanie tych przepisów może wiązać się z licznymi ograniczeniami. Chociaż oczywistym jest, że administrator danych ma obowiązek trwałego usunięcia ich ze swoich zasobów i poinformowania o tym pozostałe podmioty, które przetwarzają te same dane, to z technicznego punktu widzenia całkowite pozbycie się danych często bywa niemożliwe. Wynika to z kilku aspektów:

  • różnorodność źródeł danych – dane osobowe są dziś przechowywane nie tylko w wyszukiwarkach, ale też w mediach społecznościowych, na forach, w bazach danych firm czy nawet w archiwach mediów. W kontekście wspomnianego prawa wątpliwe jest, czy usunięcie danych we wszystkich źródłach będzie skuteczne;
  • międzynarodowy charakter Internetu – często słyszymy stwierdzenie, że Internet nie ma granic. O ile zwykle uważa się to za ogromny plus, o tyle w przypadku chęci usunięcia danych osobowych znajdujących się na serwerach w różnych krajach, gdzie nie zawsze przestrzegane są przepisy RODO, może okazać się sporym problemem;
  • brak możliwości trwałej likwidacji wszystkich śladów – nawet jeśli pewne informacje zostaną usunięte z wyszukiwarek internetowych, wciąż mogą one funkcjonować w innych miejscach w Internecie, np. w formie kopii danych, replikacji czy archiwów tworzonych przez różne systemy.

Prawo do bycia zapomnianym a sztuczna inteligencja – na co należy uważać?  

Wraz z rozwojem sztucznej inteligencji i zaawansowanych algorytmów przetwarzania danych zagwarantowanie efektywnego usunięcia wszystkich danych osobowych użytkownika staje się coraz trudniejsze. Narzędzia, takie jak ChatGPT czy inne systemy AI, mogą nieumyślnie przechowywać i przetwarzać dane, nawet jeśli pojawi się żądanie ich usunięcia. O ile podmioty mają obowiązek respektowania tego typu zaleceń, o tyle w przypadku sztucznej inteligencji możemy mieć obawy co do realizacji tego obowiązku.

Przedstawione powyżej wyzwania dobitnie pokazują, że prawo do bycia zapomnianym należy dziś rozpatrywać przede wszystkim jako część szerszego systemu ochrony danych osobowych, który wymaga nieustannego monitorowania, dostosowywania i doskonalenia w odpowiedzi na dynamiczny rozwój technologii. W kontekście cyfryzacji i sztucznej inteligencji istotne jest, aby przepisy prawne pozostawały elastyczne i zdolne do reagowania na nowe wyzwania, jakie niesie za sobą przetwarzanie danych w coraz bardziej złożonym środowisku cyfrowym.