Svar
Den generelle forordning om databeskyttelse giver enkeltpersoner ret til at bede om at få deres oplysninger slettet, og organisationerne har pligt til at gøre dette, undtagen i følgende tilfælde:
- De personoplysninger, jeres virksomhed/organisation opbevarer, skal bruges til at udøve ytringsfrihed.
- Der er en retlig forpligtelse til at beholde oplysningerne.
- Det er i samfundets interesse (f.eks. af hensyn til folkesundheden eller til videnskabelige eller historiske forskningsformål).
Hvis jeres virksomhed/organisation har behandlet oplysningerne ulovligt, skal I slette dem. I tilfælde af en anmodning fra en enkeltperson, skal personoplysninger, der blev indsamlet mens vedkommende ikke var myndig, slettes.
Vedrørende retten til at blive glemt på nettet forventes det, at organisationerne træffer rimelige foranstaltninger (f.eks. tekniske foranstaltninger) til at informere andre websteder om, at en bestemt person har bedt om at få slettet sine personoplysninger.
Det er også tilladt at beholde oplysningerne, hvis de er blevet anonymiseret i passende omfang.
Eksempler
Oplysningerne skal ikke slettes
Jeres virksomhed/organisation driver en internetavis. En af jeres journalister skriver en historie om, hvordan en politiker har hvidvasket penge via udenlandske banker. Politikeren kræver, at historien fjernes, fordi den behandler hans personoplysninger. Da personoplysningerne benyttes til at udøve jeres ytringsfrihed, er jeres virksomhed/organisation i princippet ikke forpligtet til at slette disse oplysninger. Det afhænger dog af den gældende nationale lovgivning.
Oplysningerne skal slettes
Jeres virksomhed/organisation driver et socialt netværk. En mindreårig uploader billeder, men nogle år senere beslutter han, at disse billeder potentielt kan skade hans jobmuligheder. Fordi han var mindreårig, da han uploadede billederne, har jeres virksomhed/organisation pligt til at slette dem. Desuden skal jeres virksomhed/organisation træffe rimelige foranstaltninger til at informere eventuelle andre websteder, der har behandlet billederne, om anmodningen om at slette billederne.
Referencer
- Artikel 17; betragtning 65, 66
- Artikel 29-gruppens vejledning om gennemførelse af Domstolens retsafgørelse »Google Spain and inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González« c-131/121 (WP 225)1
1 Der findes et resumé af afgørelsen i EUT C 212 af 7.7.2014, s. 4.
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.