Prawo do bycia zapomnianym – czy dane osobowe faktycznie zawsze można usunąć?

O RODO[1], które zaczęło być stosowane od 25 maja 2018 r., napisano już wiele. Duża część 2017 r., a także niemal cały 2018 r. upłynął pod znakiem dyskusji o ochronie danych osobowych i prawach, którymi w związku z tym dysponuje jednostka. Jednym z ciekawszych i jednocześnie budzących niemało wątpliwości jest tzw. prawo do bycia zapomnianym. Zostało ono uregulowane w art. 17 RODO. Przepis ten określa, kiedy można żądać usunięcia swoich danych osobowych.

Usunięcie danych i bycie zapomnianym – czy to jest to samo?

Odpowiedź na to pytanie jest twierdząca. Prawo do bycia zapomnianym to właśnie prawo do usunięcia danych. Oznacza to, że mimo tego iż udostępnimy gdzieś nasze dane osobowe, nie będą one przetwarzane bezterminowo przez osoby trzecie. Osoba, której dane są przetwarzane, może w określonych przypadkach wystąpić o ich usunięcie. Chociaż trzeba w tym miejscu zaznaczyć, że nie zawsze administrator, czyli podmiot decydujący o celach i sposobach przetwarzania danych osobowych, spełni żądanie usunięcia danych. Administrator odmówi usunięcia danych osobowych przykładowo wtedy, kiedy ich dalsze przetwarzanie będzie niezbędne do wypełnienia obowiązków prawnych ciążących na administratorze (art. 6 ust. 1 lit. c) RODO). Chodzi np. o przekazywanie do ZUS danych pracowników, przetwarzanie danych z faktur i innych dokumentów itd.

Weryfikacja żądania przez administratora

Zgodnie z art. 12 ust. 3 RODO administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

Wpłynięcie wniosku z żądaniem usunięcia danych osobowych rodzi po stronie administratora szereg obowiązków. W pierwszej kolejności takie żądanie powinno zostać zweryfikowane pod kątem tego, czy administrator przetwarza dane osobowe osoby składającej żądanie oraz czy żądanie to zostało złożone przez uprawnioną osobę.

Jeżeli nie ma uzasadnionych wątpliwości co do tożsamości osoby składającej żądanie usunięcia danych, administrator powinien rozważyć jego zasadność i ocenić, czy w danym przypadku zachodzi podstawa usunięcia danych osobowych i czy nie występuje wyjątek pozwalający na dalsze przetwarzanie danych w dotychczasowym bądź w zmienionym zakresie.

W przypadku gdy administrator odmówi usunięcia danych osobowych, osoba, której dane dotyczą, może zwrócić się do organu nadzorczego z wnioskiem o nakazanie spełnienia tego żądania. Organ nadzorczy po otrzymaniu takiego wniosku powinien rozpatrzyć dopuszczalność spełnienia tego żądania, a w przypadku uznania zasadności żądania podmiotu danych powinien wydać decyzję nakazującą dopełnienie przez administratora tego obowiązku, zgodnie z art. 58 ust. 2 lit. c RODO.

Obowiązek usunięcia danych osobowych

Zgodnie z art. 17 ust. 1 RODO „Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d) dane osobowe były przetwarzane niezgodnie z prawem;

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1”

Przesłanka a)

Przesłanka z art. 17 ust. 1 lit. a) RODO stanowi przejaw realizacji dwóch zasad przetwarzania danych:

• zasady celowości, w myśl której dane powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
• zasady ograniczenia czasu przetwarzania danych, zgodnie z którą dane powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane.

Zrealizowanie celów przetwarzania powinno pociągać za sobą zakończenie przetwarzania danych. Jeżeli administrator danych, mimo osiągnięcia celów przetwarzania, nadal przetwarza dane lub przetwarza dane do celów niezgodnych z celami, dla których dane zostały zgromadzone, osoba, której te dane dotyczą, może żądać usunięcia tych danych, a więc domagać się zaprzestania ich przetwarzania.

Przesłanka b)

Z kolei art. 17 ust. 1 lit. b) RODO uprawnia podmiot danych do żądania od administratora usunięcia danych w związku z wycofaniem zgody na przetwarzanie danych, w sytuacji, gdy administrator nie ma innej podstawy prawnej, na której mógłby oprzeć przetwarzanie danych. Jeżeli osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych, to ma prawo w dowolnym momencie wycofać zgodę. Powinno to skutkować zaprzestaniem przetwarzania danych w zakresie, w jakim przetwarzanie opiera się na zgodzie. Jeżeli administrator, pomimo wycofania zgody, nie zaprzestał przetwarzania danych, to osoba, której dane dotyczą, może żądać dopełnienia tego obowiązku, a administrator ma obowiązek niezwłocznie usunąć dane.

Żądanie usunięcia danych może w praktyce okazać się tylko częściowo skuteczne, w przypadku, gdy administrator przetwarzał dane w oparciu o zgodę, a dalsze przetwarzanie opiera już na innej podstawie prawnej (np. przepis prawa).

Przesłanka c)

Przesłanki uprawniające do żądania usunięcia danych określone w art. 17 ust. 1 lit. c) RODO są związane ze sprzeciwem wobec przetwarzania danych. Sprzeciw stanowi szczególne uprawnienie, przyznane na mocy art. 21 RODO, przy czym prawodawca odróżnia od siebie dwie postaci tego uprawnienia:

1) sprzeciw z przyczyn związanych ze szczególną sytuacją, w jakiej znajduje się podmiot danych, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej lub wobec przetwarzania opartego na klauzuli prawnie uzasadnionych interesów (art. 6 ust. 1 lit. e lub f RODO), w tym profilowania na podstawie tych przepisów (zgodnie z art. 21 ust. 1 RODO) oraz

2) sprzeciw wobec przetwarzania danych na potrzeby marketingu bezpośredniego (w tym profilowania) w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim (zgodnie z art. 21 ust. 2 RODO).

W pierwszym ze wskazanych powyżej przypadków administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

W drugiej ze wskazanych sytuacji – przy sprzeciwie wobec działań marketingowych – administratorowi nie wolno już przetwarzać danych osobowych do celów marketingowych.

Jednak fakt, iż administratorowi nie wolno przetwarzać danych w określonym celu (np. marketingowym), a podmiot danych domaga się usunięcia danych, nie oznacza, że w każdym przypadku administrator ma obowiązek takie dane usunąć. Jeżeli dalsze przetwarzanie danych opiera się na innej podstawie prawnej i służy realizacji innego celu, to dalsze przetwarzanie może być dopuszczalne, a co za tym idzie, żądanie usunięcia danych może okazać się nie w pełni skuteczne. Doprowadzi ono bowiem wtedy nie do usunięcia danych osobowych, ale do ograniczenia ich przetwarzania.

Przesłanka d)

Czwarta przesłanka uprawniająca do żądania od administratora usunięcia danych została określona w art. 17 ust. 1 lit. d) RODO i dotyczy niezgodności z prawem przetwarzania danych. Osoba, której dane dotyczą, może domagać się usunięcia danych, jeżeli administrator przetwarza dane z naruszeniem prawa. W przypadku gdy osoba, której dane dotyczą, kwestionuje legalność przetwarzania danych, to na administratorze ciąży obowiązek wykazania, że posiada podstawę prawną do przetwarzania danych osobowych tej osoby.

Przesłanka e)

Zgodnie z art. 17 ust. 1 lit. e RODO można domagać się usunięcia danych w przypadku, gdy dane osobowe powinny zostać usunięte w celu wywiązania się z obowiązku prawnego (przewidzianego w prawie UE lub prawie państwa członkowskiego), któremu podlega administrator. Skorzystanie z tej przesłanki wymaga wskazania przepisu szczególnego, z którego wynika obowiązek usunięcia danych.

Przesłanka f)

Natomiast z art. 17 ust. 1 lit. f RODO wynika prawo żądania danych osobowych, gdy zostały one zebrane w związku z oferowaniem usług społeczeństwa informacyjnego osobom niepełnoletnim. Usługi społeczeństwa informacyjnego to usługi świadczone zazwyczaj za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Najczęściej są to usługi świadczone za pośrednictwem internetu.

Dla możliwości skorzystania z uprawnienia do żądania usunięcia danych w oparciu o wskazaną przesłankę wystarczy, że dane zostały zebrane w związku z oferowaniem dziecku usług społeczeństwa informacyjnego. Dla oceny zasadności żądania nie ma znaczenia okoliczność, że dane zebrano obiektywnie prawidłowo i przetwarzanie do momentu otrzymania żądania usunięcia danych przez administratora odbywało się poprawnie.

Warto pamiętać, że w przypadku gdy administrator danych osobowych ma obowiązek uwzględnić żądanie usunięcia danych osobowych, a wcześniej w ramach dokonywania przetwarzania danych je upublicznił, to ma również obowiązek poinformować kolejnych administratorów danych, którzy weszli w ich posiadanie na skutek upublicznienia, o żądaniu usunięcia. Obowiązek ten nie jest jednak bezwzględny. Rozważając, czy powinien być spełniony, administrator powinien wziąć pod uwagę dostępną technologię i koszt realizacji przedsięwzięcia oraz podjąć rozsądne działania, w tym zastosować środki techniczne, aby poinformować administratorów przetwarzających określone dane osobowe, że osoba, której dane dotyczą, żąda usunięcia wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. 

Odmowa usunięcia danych

Artykuł 17 ust. 3 RODO przewiduje wyłączenia, gdy osoba, której dane dotyczą, mimo spełnienia omówionych powyżej przesłanek, nie jest uprawniona do tego, aby skutecznie domagać się usunięcia danych i poinformowania innych podmiotów o obowiązku usunięcia danych. Administrator może zatem odmówić usunięcia danych osobowych w zakresie, w jakim przetwarzanie jest niezbędne:

• do korzystania z prawa do wolności wypowiedzi i informacji;
• do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi);
• z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego;
• do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że realizacja żądania usunięcia danych osobowych uniemożliwiłaby lub poważnie utrudniła realizację celów takiego przetwarzania;
• do ustalenia, dochodzenia lub obrony roszczeń.

Linki, kopie, repliki – co trzeba usunąć?

Obowiązek usunięcia danych rozciąga się na tych, którzy nadal przetwarzają dane, i dotyczy linków (odnośników) do danych, kopii danych i replikacji danych. Wątpliwości budzi określenie „replikacje danych” i jego relacja do pojęcia „kopie danych”. Przyjmuje się, że kopia danych to dokładne odwzorowania danych, przy czym po sporządzeniu kopii (np. kopii zapasowej) jest ona niezależna od skopiowanych danych, które mogą ulec zmianie bez wpływu na dane, które zostały powielone (skopiowane). Replikacja w znaczeniu technicznym oznacza podwajanie – tworzenie dokładnej kopii danych pomiędzy miejscem źródłowym składowania danych a docelowym miejscem, do którego one trafiają, i stanowi mechanizm wykorzystywany do poprawy bezpieczeństwa przetwarzanych danych. Prawodawca wymaga usunięcia zarówno danych, jak i odnośników do danych, kopii danych, a także replikacji danych, a więc wymaga usunięcia wszystkich danych i informacji, które pozwalają na dotarcie do treści danych.

W praktyce często dane osobowe będą w bazie kontaktów administratora, w listach mailingowych, w aktach elektronicznych lub papierowych, w treści korespondencji. Obowiązkiem administratora jest stale identyfikować miejsca, w których przetwarza dane osobowe. A w razie usuwania danych osobowych danej osoby w całości administrator powinien zastosować metody pozwalające na techniczne zrealizowanie procesu usuwania danych osobowych.

Pamiętać należy ponadto, że jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to - biorąc pod uwagę dostępną technologię i koszt realizacji - podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

Ograniczenie dla działalności telemarketingowej?

Prawo do usunięcia danych niewątpliwie jest ograniczeniem dla działalności telemarketingowej. Stosownie bowiem do art. 21 ust. 2–4 RODO jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją m.in. o prawie do wniesienia sprzeciwu wobec przetwarzania jej danych, co przedstawia się jej jasno i odrębnie od wszelkich innych informacji. A zatem podmiot zajmujący się marketingiem bezpośrednim i bazujący na podstawie przetwarzania w postaci uzasadnionego interesu do przetwarzania danych osób będących obiektem działań marketingowych, zobowiązany jest zorganizować kontakt z takimi osobami w sposób zapewniający pouczenie o prawie do ich sprzeciwu. A w razie zgłoszenia przez nich sprzeciwu, taki podmiot powinien usunąć dane zgłaszających sprzeciw.

Poza tym jeżeli podstawą przetwarzania będzie zgoda danej osoby, to cofnięcie tej zgody również zobliguje administratora do zaprzestania działań marketingowych wobec takiej osoby.

W polu widzenia trzeba mieć, że prawo telekomunikacyjne wymaga odrębnej zgody na wykonanie połączenia w celu marketingu bezpośredniego na urządzenie odbiorcy. Jednocześnie zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. A zatem jeżeli dana osoba zażąda usunięcia jej danych osobowych obejmujących zgodę na kierowanie do niej połączeń w celach marketingowych lub obejmujących jej adres e-mail podany w celu przekazywania jej informacji handlowych (co z zasady będzie równoznaczne z cofnięciem zgody na otrzymywanie połączeń lub niezamówionych elektronicznych informacji handlowych), to administrator usuwając dane takiej osoby straci możliwość kierowania do niej komunikatów marketingowych.

Wyrok TSUE w sprawie C-131/12

W powołanym wyroku z 13 maja 2014 r. (sprawa Google Spain) TSUE orzekł, że operator wyszukiwarki internetowej jest administratorem danych osobowych, które przetwarza, prowadząc działalność polegającą na zlokalizowaniu informacji (zawierających m.in. dane osobowe) opublikowanych lub zamieszczonych w Internecie przez osoby trzecie, indeksowaniu ich w sposób automatyczny, czasowym przechowywaniu takich informacji i wreszcie udostępnianiu ich internautom w sposób uporządkowany.

TSUE uznał, że operator wyszukiwarki internetowej ma obowiązek zrealizować żądanie danej osoby usunięcia jej danych osobowych w postaci listy wyników wyszukiwania pojawiających się w wyszukiwarce po wyszukaniu imiona i nazwiska danej osoby. Przy czym TSUE wyjaśnił, że nie ma znaczenia dla realizacji wskazanego obowiązku, czy dane osobowe takiej osoby zostały usunięte ze stron trzecich, do których odsyłają linki z wyników wyszukiwania. Wskazanego obowiązku nie uchyla również to, że dane osobowe zostały opublikowane na stronach trzecich zgodnie z prawem ani to, że dana osoba (której opublikowane dane dotyczą) nie poniosła szkody w związku z działalnością wyszukiwarki.

Trybunał w omawianym wyroku zaakcentował, że prawo do żądania usunięcia danych osobowych poprzez usunięcie wyników wyszukiwania uzyskiwanych po wyszukaniu imienia i nazwiska danej osoby jest co do zasady nadrzędne nie tylko wobec interesu gospodarczego operatora wyszukiwarki internetowej, lecz również wobec interesu użytkowników wyszukiwarki zainteresowanych odnalezieniem informacji o danej osobie. Taka sytuacja nie ma jednak miejsca, jeśli ze szczególnych powodów, takich jak rola odgrywana przez tę osobę w życiu publicznym, należałoby uznać, że ingerencja w prawa tej osoby jest uzasadniona.

Wyrok TSUE w sprawie C-507/17

24 września 2019 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok w sprawie C-507/17. Postępowanie dotyczyło zakresu terytorialnego prawa do usunięcia linków. Było skutkiem sporu pomiędzy spółką Google LLC, a francuskim organem nadzorczym Commission nationale de l’informatique et des libertés (CNIL). Pytanie prawne do TSUE skierował sąd francuski, który rozpatrywał skargę wniesioną przez Google od kary nałożonej przez organ nadzorczy za odmowę uwzględnienia wniosku o usunięcie z wyników wyszukiwania we wszystkich wyszukiwarkach Google na całym świecie linków do stron z danymi osobowymi wnioskodawcy. Pytanie prawne sądu francuskiego dotyczyło wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych – poprzednika prawnego RODO. TSUE jednak przy wyrokowaniu uwzględnił również unormowania RODO. A zatem wskazane orzeczenie należy uznać za aktualne w obecnym stanie prawnym.

W powołanym wyroku TSUE orzekł, że operator wyszukiwarki internetowej działającej na terenie UE, realizując wniosek o usunięcie danych osobowych danej osoby, powinien co do zasady uniemożliwić internautom przeprowadzającym wyszukiwanie z terenu UE odnalezienie linków wyszukiwanych przez podanie imienia i nazwiska danej osoby.

Trybunał stwierdził m.in., że: „prawo Unii, na obecnym etapie jego rozwoju, nie wymaga, aby prawo do usunięcia linków, które zostanie uwzględnione, obejmowało wszystkie wersje danej wyszukiwarki, to jednak nie zakazuje ono również, aby tak było. W związku z tym organ nadzorczy lub sądowy państwa członkowskiego pozostaje właściwy, w świetle krajowych standardów ochrony praw podstawowych (…), do wyważenia przysługującego osobie, której dane dotyczą, prawa do poszanowania życia prywatnego i ochrony danych osobowych z prawem do wolności informacji, a po dokonaniu tego wyważenia – do nakazania w stosownym wypadku operatorowi tej wyszukiwarki usunięcia linków w odniesieniu do wszystkich wersji owej wyszukiwarki.” Innymi słowy TSUE uznał, że prawo UE nie daje obecnie podstawy do żądania od operatora wyszukiwarki internetowej usunięcia linków wyszukiwanych po wpisaniu imienia i nazwiska danej osoby we wszystkich wersjach internetowych wyszukiwarki na całym świecie. Prawo UE wymaga takiego działania w wersjach wyszukiwarki odpowiadających państwom członkowskim. Jednak nie jest wykluczone, że w prawie krajowym danego państwa członkowskiego znajdą się uregulowania prawne dające podstawę do wymagania od operatora wyszukiwarki zrealizowania opisanego żądania usunięcia danych również wobec wersji wyszukiwarki odpowiadających krajom spoza UE (wszystkim bądź niektórym z nich). Trzeba również zauważyć, że prawo krajowe państwa spoza UE może uzasadniać opisane żądanie w odniesieniu do wyszukiwarki odpowiadającej temu krajowi.

TSUE zaznaczył jednocześnie, że interes publiczny w dostępie do informacji może się różnić nawet w obrębie Unii, w poszczególnych jej państwach członkowskich. Wyważenia zatem wymaga w konkretnym przypadku, czy w danym państwie członkowskim omawiane linki nie powinny zostać usunięte, w szczególności gdy odsyłają do stron zawierających treści opublikowane wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego.

Podsumowanie

Prawo do bycia zapomnianym nie jest prawem bezwzględnym. Jednak co do zasady gwarantuje ono, że każdy obywatel UE może żądać usunięcia przetwarzania jego danych osobowych od administratora danych. W przypadku gdy administrator nie usunie danych osobowych na zgłoszone żądanie, powołując się na szczególne podstawy przetwarzania pozwalające mu na dalsze przetwarzanie, z reguły przynajmniej ograniczy przetwarzanie i dane osobowe znikną z przestrzeni publicznej. A najczęściej to właśnie przetwarzanie publiczne danych osobowych przez serwisy internetowe ingeruje intensywnie w prywatność osób, których dane są przetwarzane. Biorąc pod uwagę powszechnie znaną skalę zjawiska tzw. hejtu, należy przyjąć, że z zasady administrator strony internetowej pozwalającej na zamieszczanie wpisów użytkowników będzie miał obowiązek co najmniej usunąć wszystkie dane osobowe użytkownika będącego ofiarą hejtu na stronie internetowej. W praktyce powinna to być relatywnie łatwa ścieżka uwolnienia się od problemu przez ofiarę hejtu. W spectrum możliwości prawnych takiej ofiary pozostają jeszcze inne środki prawne. Ich realizacja jednak w praktyce będzie z reguły znacznie bardziej skomplikowana i czasochłonna niż samo wystąpienie do administratora strony o usunięcie danych osobowych.

Marcin Milewski

radca prawny, doradca podatkowy

Kancelaria Zawiślak & Partners in Law

---

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – dalej jako „RODO” (Dz. Urz. UE. L 2016, nr 119).