Prawo do zapomnienia, znane oficjalnie jako prawo do usunięcia danych (art. 17 RODO), to jedno z najpotężniejszych narzędzi, jakie otrzymaliśmy wraz z wejściem w życie ogólnego rozporządzenia o ochronie danych. W teorii brzmi to świetnie: jeśli nie chcemy, aby nasze dane widniały w sieci, możemy żądać ich usunięcia. Jednak rzeczywistość cyfrowa, w której dane krążą między prywatnymi dyskami, anonimowymi forami a mediami społecznościowymi, brutalnie weryfikuje skuteczność tego przepisu. Gdy w grę wchodzi prywatny użytkownik, którego tożsamości nie znamy, sytuacja staje się skomplikowana.

Teoria a praktyka: co mówi RODO?

Zgodnie z przepisami, prawo do zapomnienia pozwala osobie, której dane dotyczą, zażądać od administratora niezwłocznego usunięcia jej danych osobowych. Administrator ma obowiązek to zrobić, jeśli dane nie są już niezbędne do celów, w których zostały zebrane, lub gdy cofniemy zgodę na ich przetwarzanie. Problem pojawia się jednak już na etapie definicji administratora.

RODO zawiera tzw. wyłączenie domowe (household exemption). Oznacza to, że przepisy rozporządzenia nie mają zastosowania do przetwarzania danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Jeśli więc ktoś zapisał Twoje zdjęcie na swoim prywatnym komputerze lub w telefonie, prawo do zapomnienia w ramach RODO praktycznie nie ma do niego zastosowania. Dopóki te dane nie zostaną udostępnione publicznie lub w celach komercyjnych, prawo ochrony danych osobowych ma tu bardzo ograniczone pole manewru.

Gdy dane trafiają do sieci przez anonimowego użytkownika

Sytuacja zmienia się, gdy prywatny użytkownik publikuje Twoje dane na ogólnodostępnej stronie, forum czy w mediach społecznościowych. Wtedy przestaje to być "czynność o charakterze domowym". Jednak tutaj natrafiamy na barierę nie do przeskoczenia: anonimowość.

Jeśli nie znasz tożsamości osoby, która wrzuciła Twoje dane do sieci, nie możesz bezpośrednio skierować do niej żądania usunięcia. W takim przypadku skuteczność prawa do zapomnienia zależy od dwóch czynników:

1. Reakcji administratora serwisu: To on staje się Twoim głównym punktem kontaktu. Portale takie jak Facebook, X (dawniej Twitter) czy lokalne fora mają obowiązek reagować na zgłoszenia naruszenia prywatności.
2. Możliwości technicznych: Nawet jeśli administrator usunie post, dane mogły zostać już powielone przez innych użytkowników (efekt kuli śnieżnej).

Rola administratora strony i platformy

W przypadku anonimowego użytkownika, ciężar odpowiedzialności przesuwa się na właściciela strony (hostingu). To on zarządza treścią i ma techniczne możliwości jej usunięcia. Skuteczność prawa do zapomnienia jest w tym punkcie dość wysoka, o ile potrafisz wskazać konkretne naruszenie i link do treści.

Większość dużych platform posiada zautomatyzowane formularze zgłoszeniowe. Jeśli udowodnisz, że opublikowane dane naruszają Twoją prywatność, administrator zazwyczaj usuwa treść, by uniknąć odpowiedzialności prawnej. Należy jednak pamiętać, że administrator nie ma obowiązku (a często nawet możliwości) ustalania tożsamości anonimowego użytkownika dla Ciebie. Aby uzyskać dane takie jak adres IP czy logi logowania, zazwyczaj potrzebna jest interwencja policji lub prokuratury w ramach postępowania karnego lub cywilnego.

Ciekawostka: Efekt Streisand

Próbując wyegzekwować prawo do zapomnienia, warto pamiętać o zjawisku zwanym "efektem Streisand". Polega ono na tym, że próba usunięcia lub ukrycia informacji z internetu prowadzi do jej nagłego rozpowszechnienia na masową skalę. Czasem agresywne żądania prawne wobec drobnych wpisów sprawiają, że sprawą interesują się media, a dane, o których chcieliśmy zapomnieć, lądują na pierwszych stronach portali informacyjnych.

Skuteczność deindeksacji w wyszukiwarkach

Nawet jeśli nie uda się usunąć danych u źródła (bo np. serwer znajduje się w kraju, który nie uznaje RODO), prawo do zapomnienia oferuje jeszcze jedno rozwiązanie: deindeksację w wyszukiwarkach (np. Google).

Możesz złożyć wniosek o to, aby po wpisaniu Twojego imienia i nazwiska w wyszukiwarkę, linki prowadzące do stron z Twoimi danymi nie pojawiały się w wynikach wyszukiwania. Jest to rozwiązanie bardzo skuteczne w ograniczaniu zasięgu informacji. Dane technicznie nadal istnieją na serwerze anonimowego użytkownika, ale stają się niemal niemożliwe do znalezienia dla przeciętnego internauty.

Bariery nie do przebicia: dlaczego prawo do zapomnienia bywa bezsilne?

Niestety, w starciu z anonimowym użytkownikiem prawo do zapomnienia ma swoje granice:

• Dane zapisane offline: Jeśli użytkownik pobrał Twoje dane na dysk zewnętrzny, prawo nie ma żadnego sposobu, aby zmusić go do ich skasowania, dopóki nie wypłyną one ponownie.
• Sieci P2P i Blockchain: W przypadku technologii rozproszonych, gdzie dane nie znajdują się na jednym serwerze, usunięcie czegokolwiek jest technicznie niemożliwe.
• Darknet: Prawo do zapomnienia praktycznie nie istnieje w obszarach internetu, które celowo unikają jakiejkolwiek regulacji i nadzoru.

Podsumowanie skuteczności

Skuteczność prawa do zapomnienia w starciu z anonimowym użytkownikiem jest wysoka w zakresie widoczności publicznej, ale niska w zakresie całkowitego wymazania danych z istnienia. Możesz skutecznie zmusić portal do usunięcia wpisu i Google do ukrycia linków, co dla większości osób jest wystarczające. Jednak dopóki tożsamość użytkownika pozostaje nieznana, nie masz pewności, czy Twoje dane nie zostaną opublikowane ponownie w innym miejscu lub czy nie są przechowywane w prywatnym archiwum, nad którym prawo nie ma kontroli.