Antwoord
De Algemene Verordening Gegevensbescherming geeft personen het recht te verzoeken dat hun gegevens worden verwijderd en organisaties zijn verplicht daaraan gehoor te geven, behalve in de volgende gevallen:
- de door uw onderneming/organisatie bijgehouden persoonsgegevens zijn nodig om het recht op vrijheid van meningsuiting uit te oefenen;
- er bestaat een wettelijke verplichting om de gegevens te bewaren;
- om redenen van algemeen belang (bijvoorbeeld volksgezondheid of wetenschappelijke, statistische of historische onderzoeksdoeleinden).
Als uw onderneming/organisatie onrechtmatig gegevens heeft verwerkt, moeten de gegevens worden verwijderen. Ook gegevens over een persoon die verzameld zijn toen die persoon nog minderjarig was, moeten worden verwijderd.
Met betrekking tot het recht om online te worden vergeten, wordt van ondernemingen/organisaties verwacht dat zij redelijke stappen ondernemen (bijvoorbeeld technische maatregelen) om andere websites erover te informeren dat een bepaalde persoon heeft verzocht om de verwijdering van zijn of haar persoonsgegevens.
Persoonsgegevens kunnen worden bewaard als zij op passende wijze zijn geanonimiseerd.
Voorbeelden
Gegevens hoeven niet te worden gewist
Uw onderneming/organisatie beheert een onlinekrant. Een van uw journalisten publiceert een verhaal over hoe een politicus geld in offshorebanken heeft witgewassen. De politicus vraagt u het verhaal te verwijderen omdat zijn persoonsgegevens zijn verwerkt. Aangezien de persoonsgegevens zijn gebruikt om het recht op vrijheid van meningsuiting uit te oefenen, is uw onderneming/organisatie in beginsel niet verplicht om de gegevens te verwijderen. Dit zal echter afhangen van de geldende nationale wetgeving.
Gegevens moeten worden gewist
Uw onderneming/organisatie beheert een platform voor sociale media. Een minderjarige uploadt foto's, maar enkele jaren later besluit hij of zij dat die foto’s zijn of haar loopbaanvooruitzichten kunnen schaden. Omdat de persoon op het moment van uploaden minderjarig was, is uw onderneming/organisatie verplicht de foto's te verwijderen. Bovendien moet uw onderneming/organisatie, indien de foto's op andere websites zijn verwerkt, redelijke stappen ondernemen om die websites te informeren dat er een verzoek is ingediend om de foto's te verwijderen.
Referenties
- Artikel 17; overwegingen 65 en 66 van de AVG
- Richtsnoeren van de Groep gegevensbescherming artikel 29 over de tenuitvoerlegging van het arrest van het Hof van Justitie over „Google Spain SL en Google Inc. tegen Agencia Española de Protección de Datos (AEPD) en Mario Costeja González” c-131/121 ECLI:EU:C:2014:3171
1 Een samenvatting van het arrest is te vinden in PB C 212 van 7.7.2014, blz. 4.
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.