Válasz
Az általános adatvédelmi rendelet feljogosítja az érintetteket arra, hogy adataik törlését kérjék, a szervezetek pedig kötelesek ennek eleget tenni, kivéve az alábbi esetekben:
- az ön vállalkozása/szervezete birtokában lévő személyes adatokra a szólásszabadság jogának gyakorlása érdekében van szükség;
- az adatok megőrzése jogszabályban foglalt kötelezettség;
- közérdekű okból (pl. közegészségügyi, tudományos, statisztikai vagy történeti kutatási célból).
Amennyiben vállalkozása/szervezete adatokat jogellenesen kezelt, törölnie kell azokat. Magánszemély esetén a róla kiskorúsága idején gyűjtött adatokat törölni kell.
Ami az elfeledtetéshez való jogot illeti: a szervezetektől elvárják, hogy észszerű lépéseket tegyenek (pl. technikai intézkedések), más weboldalakat tájékoztatva arról, hogy egy bizonyos érintett a személyes adatainak törlését kérte.
Az adatok megőrizhetők, ha megfelelő anonimizálási folyamaton mentek át.
Példák
Az adatokat nem kell törölni
Vállalkozása/szervezete online újságot működtet. Egyik újságírója közzétesz egy történetet, amelyben bemutatja, hogy egy politikus offshore bankok segítségével pénzt mosott tisztára. A politikus a történet eltávolítására kéri, arra hivatkozva, hogy a cikkben a személyes adatait kezelik. Mivel a személyes adatokat a szólásszabadság jogának gyakorlására használja, az ön vállalkozása/szervezete elvileg nem köteles törölni ezeket az adatokat. Ez azonban a hatályban lévő nemzeti jogszabályoktól függ.
Az adatokat törölni kell
Vállalkozása/szervezete közösségi médiaplatformot működtet. Egy kiskorú fényképeket tölt fel, azonban néhány évvel később úgy dönt, hogy az említett fotók károsan befolyásolhatják a karrierlehetőségeit. Mivel az érintett a feltöltés időpontjában kiskorú volt, az ön vállalkozásának/szervezetének kötelessége törölni az említett fotókat. Továbbá, ha a képeket más weboldalakon is feldolgozták, az ön vállalkozásának/szervezetének észszerű lépéseket kell tennie a tájékoztatásukra, hogy az érintett a fényképek törlését kérte.
Hivatkozások
- Az általános adatvédelmi rendelet 17. cikke, valamint (65) és (66) preambulumbekezdése
- A 29. cikk alapján létrehozott munkacsoport iránymutatásai az Európai Unió Bírósága által a Google Spain SL és Google Inc. kontra Agencia Española de Protección de Datos (AEPD) és Mario Costeja González, C-131/12. sz. ügyben hozott ítélet végrehajtásáról, ECLI:EU:C:2014:317
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.