Prawo do bycia zapomnianym to rezultat sprawy wytoczonej przez Mario Costeja Gonzaleza hiszpańskiemu GIODO i hiszpańskiemu oddziałowi Google. Mario Costejo Gonzalez domagał się, aby z wyników wyszukiwania Google usunięte zostały linki do stron internetowych zawierających jego dane osobowe. Sprawa doszła aż do najwyższego sądu UE – Trybunał Sprawiedliwości Unii Europejskiej. Trybunał rozpoznając sprawę uznał Google za administratora danych osobowych i nakazał Google usunąć wyniki wyszukiwania. Prawo do bycia zapomnianym to takie uprawnienie, które pozwala na usunięcie informacji personalnych z baz danych zgromadzonych przez różne podmioty dysponujące danymi osobowymi.

Na bazie sprawy Mario Costeja Gonzaleza, w RODO wprowadzono art. 17 zatytułowany „Prawo do usunięcia danych („prawo do bycia zapomnianym”)”. Na mocy tego przepisu, Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki je usunąć. Obowiązek ten powstaje, gdy zachodzi jedna z poniższych sytuacji: dane te nie są już administratorowi niezbędne, została cofnięta zgoda na ich przetwarzanie, osoba, której dane dotyczą wnosi sprzeciw co do ich przetwarzania bądź były one przetwarzane niezgodnie z prawem – tłumaczy Jacek Grzyb z firmy teamLeaders, zajmującej się dostarczaniem rozwiązań kognitywnych wykorzystujących przetwarzanie języka naturalnego.

„Analogowe” rekordy

Jedna z warszawskich firm w październiku tego roku organizuje dużą konferencję dla potencjalnych klientów. Aby zapewnić jak najwyższą frekwencję, stworzyła dużą bazę danych gości, korzystając zarówno z własnych, jak i zewnętrznych baz danych. Jednym z zaproszonych gości jest pan X, który jak się okazuje, nie jest zainteresowany tematyką konferencji i żąda usunięcia swoich danych z listy mailingowej. Dzisiaj wystarczy, że firma usunie go z bazy i tym samym spełni wymogi ustawy o ochronie danych osobowych. Za rok to jednak nie wystarczy, co więcej, firma może być narażona na gigantyczne kary. Dlaczego? - Zgodnie z zapisami RODO, firma musi na żądanie danej osoby, usunąć jej dane. Mało kto jednak wie o tym, że dotyczy to wszystkich dokumentów, na których widnieją dane. To więc nie tylko elektroniczne bazy danych, ale także pliki, maile, luźne wydruki, ankiety i dokumenty, które być może leżą spakowane w kartonach lub leżą na półce. Jeżeli zawierają dane osobowe, to podlegają ochronie – przekonuje Jacek Grzyb.

Warto podkreślić, że przepisy nakazujące wykreślenie na żądanie danych osobowych z firmowych rejestrów, zawarte w Ustawie o Ochronie Danych Osobowych obowiązują już dzisiaj – problem w tym, iż nikt dotychczas nie analizował czy po cofnięciu zgody na ich dalsze gromadzenie i przetwarzanie przez daną osobę, zostały one usunięte ze skanów, plików tekstowych czy nagrań, które również stanowią „nośniki” informacji personalnych. Podobnie, jak dokumenty w klasycznej, papierowej formie. W praktyce, zwykle nikt nie weryfikuje, czy na skanach bądź wydrukach znajdują się informacje klasyfikowane jako dane osobowe – w przypadku, gdy w jakikolwiek sposób „wypłyną” one poza organizację – niezależnie od tego czy w formie cyfrowej czy też papierowej – a zawierają dane osób, które skorzystały z prawa do bycia zapomnianym, mogą narazić firmę na wielomilionowe straty finansowe z tytułu kar przewidzianych w RODO – dodaje Jacek Grzyb.

Nazwisko czy dzień tygodnia?

Ręczna weryfikacja baz danych oraz dokumentów tekstowych, także tych w formie papierowej, pod kątem zlokalizowania na nich danych osobowych byłaby niezwykle trudna oraz czasochłonna. Wystarczy wyobrazić sobie liczbę rekordów administrowanych przez firmy od wielu lat oraz dynamikę ich przyrostu każdego dnia. Dostosowanie się do wymogów RODO wymaga zatem zatrudnienia dodatkowych osób wpierających proces wdrażania wytycznych rozporządzenia. Bądź alternatywnie, inwestycji w odpowiednią technologię.
Z pomocą przychodzi automatyzacja, czyli rozwiązania pozwalające na detekcję przeskanowanych plików pod kątem mogących się tam znajdować rekordów personalnych, jak m.in. imiona i nazwiska, adresy, maile czy loginy. Problem w tym, iż w dokumentach przechowywanych przez przedsiębiorstwa zwykle nie występują one w ustrukturyzowanych zbiorach i często należy je wychwycić z plików tekstowych zawierających szereg innych informacji, niebędących danymi osobowymi.

- Na rynku są dostępne narzędzia potrafiące wyszukać konkretne frazy, określane jako analizatory składniowe bądź tzw. persery. Niestety, ich funkcjonalność ogranicza się do reagowania na słowa klucze, co powoduje, że firma wcześniej musi wiedzieć jakie dane wrażliwe może posiadać w swoich zbiorach. Co jednak w przypadku, gdy nie jest w stanie tego określić? Rozwiązanie może stanowić inteligentna platforma potrafiąca „czytać” tekst ze zrozumieniem i rozpoznająca szerszy kontekst w jakim użyto daną frazę. Dzięki złożonej analizie dokumentu, potrafi ona ocenić czy poszczególne wyrazy są danymi osobowymi i w zależności od kontekstu potraktować np. frazę „poniedziałek” jako dzień tygodnia, nie stanowiący wrażliwej danej, bądź jako nazwisko, automatycznie klasyfikując ten element tekstu jako wrażliwa informacja, podlegająca ochronie – tłumaczy Grzyb.

Wyjątki od zapomnienia

Jeżeli zatem dana osoba zgłasza żądanie dotyczące zapomnienia swoich danych osobowych, to dotyczy to wszystkich powiązanych z nią informacji, niezależnie od sposobu ich przechowywania. Trzeba jednak wspomnieć, iż także tutaj znajdziemy szereg wyjątków od konieczności egzekwowania prawa do bycia zapomnianym.
To, co pozwala zatrzymać te dane do dalszego przetwarzania, to prawnie uzasadniona potrzeba wynikająca z innych aktów, np. prawa telekomunikacyjnego. Inny przykład stanowić mogą akta pracownicze, podlegające potrzebie gromadzenia przez 50 lat. Obowiązek ten wynika jednak zwykle z innych przepisów i tylko wtedy żądanie klienta może nie zostać spełnione.

Czasu coraz mniej

Niepokojącym pozostaje fakt, iż świadomość przedsiębiorców dotycząca RODO wciąż jest niewielka. Według zeszłorocznego badania firmy Dell, ponad 80 proc. ankietowanych przedstawicieli firm nic nie wie na temat nowego unijnego rozporządzenia lub ma o nim szczątkową wiedzę. Zaledwie 3 proc. osób biorących udział w badaniu zadeklarowało, że ich firma ma stosowny plan oraz dysponuje procedurami spełnienia wytycznych RODO.