Skorzystaj ze swoich praw - Artykuł 17 GDPR - Zażądaj usunięcia swoich danych!

Czy zrezygnowałeś z członkostwa w siłowni? Lub usunąłeś aplikację treningową na swoim telefonie? Czy wiesz, że te siłownie lub aplikacje mogą być zobowiązane do usunięcia danych, które o Tobie posiadają?

GDPR znacznie wzmocniło nasze prawa do usuwania danych osobowych, które są niedokładne, nieaktualne lub wykorzystywane niezgodnie z prawem. Czytaj dalej, aby dowiedzieć się, jak skorzystać z prawa do usunięcia swoich danych..

Ta strona jest dostępna wyłącznie w tłumaczeniu automatycznym na język polski. Zawsze możesz przełączyć się na oryginalną wersję w języku angielskim.

Twoje prawo do bycia zapomnianym

Czym jest prawo do usunięcia danych?

W GDPR prawo do usunięcia danych nazywane jest również prawem do usunięcia lub "prawem do bycia zapomnianym*". Z tego powodu terminy "usunąć" i "wymazać" są często używane zamiennie. Prawo to dotyczy Twoich danych osobowych przetwarzanych przez firmy, organizacje i przedsiębiorstwa, które chcesz usunąć lub skasować z ich systemów.

Należy pamiętać, że "prawo do bycia zapomnianym" jest również czasami używane w odniesieniu do prawa do usunięcia z wykazu.

Chociaż prawa do usunięcia z wykazu lub usunięcia danych można uznać za podobne, nie są one tym samym. Prawo do usunięcia z wykazu dotyczy w szczególności danych osobowych użytkownika, które można znaleźć w wyszukiwarkach. Na przykład, jeśli zażądasz od Google usunięcia pewnych wyników, które pojawiają się po wpisaniu Twojego imienia i nazwiska w pasku wyszukiwania Google, korzystasz z prawa do usunięcia z wykazu. Twoje prawo do usunięcia danych jest szersze, ponieważ ma zastosowanie do wszystkich administratorów przetwarzających Twoje dane, a nie tylko do wyszukiwarek.

Krok 1: Określenie, do kogo wysłać wniosek

Krok 2: Sporządzenie wniosku

Krok 3: Odpowiedź administratora danych

Krok 4: Co zrobić, jeśli administrator odmówi usunięcia moich danych?

Kiedy administratorzy danych muszą usunąć moje dane?

Administratorzy danych muszą usunąć Twoje dane w jednym z następujących przypadków:

Przechowywanie lub wykorzystywanie Twoich danych nie jest już konieczne do celów, dla których zostały one pierwotnie zebrane, i nie istnieje żaden nowy powód do ich przetwarzania lub przechowywania (np. Twój abonament na siłownię wygasł miesiące temu, a Ty opłaciłeś swoje składki członkowskie w terminie)
Administrator opiera się na Twojej zgodzie na przetwarzanie danych, a Ty wycofujesz tę zgodę (aby dowiedzieć się, jak wycofać zgodę, przeczytaj tutaj),
Wnosisz sprzeciw wobec przetwarzania Twoich danych, a administrator nie ma nadrzędnych powodów do dalszego ich przetwarzania lub Twoje dane są wykorzystywane do celów marketingu bezpośredniego (więcej na temat prawa do sprzeciwu)
Administrator przetwarza Twoje dane niezgodnie z prawem (np. przetwarza je bez podstawy prawnej lub z naruszeniem jednej z zasad przetwarzania danych osobowych);
Dane muszą zostać usunięte, aby administrator mógł wywiązać się z obowiązku prawnego (np. obowiązek usunięcia przez bank po kilku latach wszelkich danych dotyczących Państwa zadłużenia);
Dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego (np. media społecznościowe lub aplikacja do gier) na podstawie zgody dziecka (wiek zgody wynosi 13-16 lat, w zależności od kraju UE, w którym mieszkasz).

Czy są jakieś wyjątki od tego obowiązku usunięcia moich danych?

Tak, ale administrator będzie musiał wykazać, że wyjątek ma zastosowanie do konkretnej sytuacji, tzn. nie może użyć ogólnego usprawiedliwienia dla odmowy usunięcia danych

Administratorzy danych mogą nie być zobowiązani do usunięcia danych, jeśli zachodzi jedna z poniższych sytuacji:

Przechowywanie lub wykorzystywanie danych jest konieczne dla wolności słowa lub informacji (np. gazeta opublikowała swoje dochodzenie online),
Dane muszą być przetwarzane w celu wypełnienia przez administratora danych zobowiązania prawnego (np. krajowe przepisy podatkowe mogą wymagać zachowania pewnych danych osobowych podatników),
Dane muszą być przechowywane ze względu na zdrowie publiczne (np. dane odwiedzających są przechowywane przez szpital w celu uniknięcia zakażenia wirusem),
Usunięcie danych "poważnie pogorszyłoby lub uniemożliwiło" przetwarzanie informacji do celów statystycznych, historycznych lub naukowych (np. w przypadku archiwizacji),
Przechowywanie danych jest konieczne do podjęcia lub odpowiedzi na roszczenie prawne (powinno to być roszczenie, które jest już w toku w momencie składania wniosku; ten wyjątek nie uprawnia administratora do przechowywania danych "na wszelki wypadek", gdyby kiedyś pojawiło się roszczenie)

Czy mogę zażądać usunięcia moich danych we wszystkich przypadkach?

Istnieją pewne wyjątki, w zależności od kraju. Najczęstsze wyjątki istnieją w dziedzinie egzekwowania prawa i policji, bezpieczeństwa narodowego lub podatków

Administrator danych może również odrzucić wniosek o usunięcie danych, jeśli wniosek jest nadmierny (np. kilka podobnych wniosków w tej samej sprawie) lub wyraźnie nieuzasadniony (np. z zamiarem spowodowania zakłóceń)

Kto musi usunąć moje dane osobowe?

W przypadku złożenia wniosku o usunięcie danych osobowych, to administrator danych (organizacja/podmiot/administracja/firma przetwarzająca dane) musi podjąć odpowiednie kroki w celu ich usunięcia. Administrator danych musi również poinformować innych administratorów danych, podmioty przetwarzające (jeśli zleciły im przetwarzanie danych) oraz wszelkich innych odbiorców, że chcesz, aby Twoje dane zostały usunięte i że muszą one zostać usunięte.

Jak skłonić administratora danych do usunięcia moich danych?

Krok 1: Ustalenie, do kogo wysłać wniosek

Wniosek o usunięcie danych należy skierować do administratora danych (organizacji/podmiotu/administracji/firmy przetwarzającej dane)

Można to zrobić za pośrednictwem poczty elektronicznej, listu, faksu lub formularza, pod warunkiem, że wniosek zostanie zapisany na piśmie. Jeśli przetwarzanie odbywa się online, administratorzy muszą zapewnić zautomatyzowane sposoby (takie jak formularz lub link do sprzeciwu w wiadomości e-mail), aby sprzeciwić się przetwarzaniu Państwa danych

Odpowiedni adres e-mail można zwykle znaleźć w sekcji "polityka prywatności" lub "kontakt z nami" na stronie internetowej administratora. Zazwyczaj będzie on nosił nazwę taką jak privacy@company.com lub legal@publicauthority.eu. Jeśli trudno go znaleźć lub jeśli nie ma konkretnego adresu, na który można wysłać zapytanie, jest to wina administratora, a nie Państwa - GDPR wymaga od administratorów, aby informacje te były łatwo dostępne. Jeśli nie ma konkretnego adresu e-mail, można skorzystać z ogólnych danych kontaktowych administratora.

Krok 2: Sporządzenie wniosku

Poinformuj administratora danych, że prosisz o usunięcie swoich danych oraz że żądasz od administratora potwierdzenia, że zaprzestał on przetwarzania danych. Jeżeli istnieje kilka operacji przetwarzania danych dotyczących użytkownika, należy określić, które z nich mają zostać wstrzymane
Należy podać swoje imię i nazwisko lub inny identyfikator używany przez administratora (np. nazwę użytkownika konta)Aby pomóc administratorowi skuteczniej odpowiedzieć na Twoje żądanie, podaj informacje, które pomogą zidentyfikować Twoje konto , takie jak numer telefonu (jeśli podałeś go podczas rejestracji), nazwa użytkownika lub nazwa konta, lub adres IP. Będzie to szczególnie pomocne, jeśli masz wspólne imię i nazwisko.
Uwzględnij datę w tekście, jeśli umieścisz swoje żądanie w załączniku do e-maila lub w liście. W ten sposób doprecyzujesz termin udzielenia informacji przez administratora danych.
Wspomnij w swoim e-mailu lub liście:
- że dążysz do natychmiastowego usunięcia swoich danych (możesz wyraźnie odwołać się do art. 17 GDPR),
- że domagasz się potwierdzenia, że administrator usunął Twoje dane w ciągu jednego miesiąca od złożenia wniosku,
- powód (powody), dla których administrator jest zobowiązany do usunięcia Państwa danych (patrz nasza lista powodów powyżej w części "Kiedy administratorzy muszą usunąć moje dane? Możesz podać więcej niż jeden powód, dla którego administrator powinien usunąć Twoje dane)
- że jeśli dane zostały ujawnione innym odbiorcom, strony te muszą zostać poinformowane o Twoim żądaniu i dane muszą zostać usunięte z ich systemów
Określ, w jaki sposób chciałbyś/chciałabyś otrzymywać informacjenp. elektronicznie, poprzez adres e-mail.
Możesz poprosić administratora o potwierdzenie, że powstrzyma się on od przetwarzania kwestionowanych danych w czasie rozpatrywania Twojego wniosku W takim przypadku należy zaznaczyć, że chce się skorzystać z prawa do ograniczenia przetwarzania danych na mocy art. 18 ust. 1 lit. d) GDPR

Jeśli wolisz, możesz również skorzystać z narzędzi udostępnionych przez mydatadoneright.eu. Ich system napisze i wyśle wniosek o usunięcie danych za Ciebie.

Krok 3: Odpowiedź administratora danych

Po otrzymaniu wniosku, administrator ma jeden miesiąc na odpowiedź i potwierdzenie, że usunął Twoje dane. Okres ten może zostać przedłużony tylko raz, maksymalnie o dwa kolejne miesiące, w przypadku złożonych lub wielokrotnych wniosków

W razie wątpliwości administrator danych może poprosić Państwa o dodatkowe informacje w celu potwierdzenia Państwa tożsamości. Wniosek taki powinien być jednak ograniczony do dodatkowych informacji niezbędnych do potwierdzenia, kim Państwo są. Dodatkowe informacje nie mogą być nieproporcjonalne, biorąc pod uwagę kontekst przetwarzania Państwa danych (np. sklep prosi o kopię paszportu w celu zmiany adresu na karcie lojalnościowej, co byłoby nieproporcjonalne)

Zasadniczo odpowiedź ta powinna być udzielona na piśmie, ale może być przekazana drogą elektroniczną, np. pocztą elektroniczną, lub ustnie, jeśli użytkownik sobie tego zażyczy.

Krok 4: Co zrobić, jeśli administrator odmówi usunięcia moich danych?

Administrator danych może odpowiedzieć na wniosek, informując, że podjął decyzję o nieusuwaniu części lub całości danych, których usunięcia zażądano. W takim przypadku musi wyjaśnić, dlaczego tak się stało, oraz wykazać, że w danym przypadku ma zastosowanie jeden z wyjątków (zob. wyjaśnienia powyżej). Administrator danych nie może odmówić usunięcia danych z jakiegokolwiek innego powodu ani udzielić Ci ogólnej, generalnej odpowiedzi

Jeśli administrator danych:

odrzuca Państwa wniosek bez satysfakcjonującego wyjaśnienia,
próbuje bezpodstawnie obciążyć Cię kosztami Twojego żądania,
nie:
- ograniczy przetwarzania na czas rozpatrywania Twojego żądania (jeśli o to prosiłeś),
- udzielić odpowiedzi po upływie miesiąca (lub dłuższego okresu maksymalnie 3 miesięcy),

masz prawo wnieść skargę do organu ochrony danych (np. do IOD w miejscu zamieszkania lub pracy), a administrator powinien Cię o tym poinformować

Jeżeli potrzebują Państwo pomocy w ocenie prawnych elementów odpowiedzi administratora, mogą Państwo skontaktować się z nami pod adresem info@noyb.eu aby omówić dalsze kroki.

Powrót do Korzystanie z praw

Wesprzyj nas!

Cel finansowy noyb

76.07 %

Zostań członkiem!

Follow us!

Media Coverage

U.S. tech giant Meta has been hit with a record €1.2 billion fine for not complying with the EU’s privacy rulebook.

Apple hits back at European activist complaints against tracking tool

An Austrian privacy advocacy group drew a strongly critical response from Apple on Monday after it said an online tracking tool used in its devices breached European law.

101 Unternehmen leiten noch immer Daten an die USA weiter

Der Datenschutz-Verein noyb brachte 101 Beschwerden gegen den Datentransfer in die USA ein.

ZDF Magazin Royale vom 10. Dezember 2021

Expertentalk mit Datenschützer und Facebookbezwinger Max Schrems

Irish regulator proposes 36 mln euro Facebook privacy fine - document

The complaint, lodged by Austrian privacy activist Max Schrems, concerned the lawfulness of Facebook's processing of personal data, specifically around its terms of service.