Odgovor
Splošna uredba o varstvu podatkov zagotavlja posameznikom pravico, da zahtevajo izbris svojih podatkov, organizacije pa so to dolžne storiti, razen v naslednjih primerih:
- osebni podatki, ki jih imate, so potrebni za uresničevanje pravice do svobode izražanja;
- kadar pravna obveznost pomeni, da morate podatke hraniti;
- iz razlogov javnega interesa (npr. javnega zdravja, za znanstveno- ali zgodovinskoraziskovalne namene).
Če ste podatke obdelovali nezakonito, jih morate izbrisati. Podobno velja v primeru zahteve posameznika, če ste njegove osebne podatke zbrali, ko je bil še mladoletna oseba.
Ob upoštevanju pravice do pozabe na spletu se od organizacij pričakuje, da sprejmejo razumne ukrepe (npr. tehnične ukrepe), s katerimi obvestijo druga spletna mesta, da določena oseba zahteva izbris svojih osebnih podatkov.
Podatki se lahko hranijo tudi, če so bili anonimizirani.
Primera
Podatkov ni treba izbrisati
Ste urednik spletnega časopisa. Eden od vaših novinarjev objavi zgodbo o nekem politiku, ki je pral denar v offshore bankah. Politik zahteva, da zgodbo umaknete, saj se pri tem obdelujejo njegovi osebni podatki. Ker uporabljate osebne podatke, da bi uresničili pravico do svobode izražanja, načeloma niste dolžni izbrisati takih podatkov. Vendar pa je to odvisno od veljavne nacionalne zakonodaje.
Podatke je treba izbrisati
Upravljate platformo družbenega medija. Mladoletna oseba naloži na platformo fotografije, nekaj let pozneje pa ugotovi, da bi te fotografije lahko ogrozile njene možnosti na poklicni poti. Ker je bila v času objave fotografij mladoletna, ste dolžni navedene fotografije izbrisati. Če so se fotografije obdelovale tudi na drugih spletnih mestih, pa morate sprejeti razumne ukrepe in ta spletna mesta obvestiti, da je bila predložena zahteva za izbris fotografij.
Reference
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.