Dreptul de a fi uitat sau dreptul la ștergerea datelor
GDPR introduce dreptul persoanelor fizice de a fi uitat sau de a șterge datele cu caracter personal.
- Dreptul la ștergere este, de asemenea, cunoscut ca „dreptul de a fi uitat”.
- Persoanele fizice pot face o cerere de ștergere verbală sau în scris.
- Aveți la dispoziție o lună să răspundeți la solicitare.
- Dreptul nu este absolut și se aplică numai în anumite circumstanțe.
- Acest drept nu este singurul mod în care GDPR vă obligă să vă hotărâți să ștergeți datele cu caracter personal.
Listă de verificare
Cum ne pregătim?
- Știm cum să recunoaștem o cerere de ștergere și înțelegem când se aplică dreptul.
- Avem o procedură pentru a ști concret cum să identificăm și cum să răspundem la o cerere de ștergere.
- Avem un registru unde înregistrăm cererile.
- Înțelegem când putem refuza o cerere și suntem conștienți de informațiile pe care trebuie să le furnizăm persoanelor atunci când facem acest lucru.
Cum răspundem?
- Există procese prin care ne asigurăm că răspundem la o cerere de ștergere fără întârzieri nejustificate și în termen de o lună de la primire.
- Suntem conștienți de circumstanțele în care putem prelungi termenul pentru a răspunde la o solicitare.
- Înțelegem că se pune un accent deosebit pe dreptul de a fi uitat dacă cererea se referă la datele colectate de la copii.
- Avem proceduri pentru a informa destinatarii dacă ștergem orice date pe care le-am împărtășit cu ei.
- Avem metode adecvate pentru a șterge informațiile.
Ce reprezintă dreptul de a fi uitat?
În conformitate cu articolul 17 din GDPR, persoanele fizice au dreptul de a șterge datele cu caracter personal. Acest lucru este, de asemenea, cunoscut ca „dreptul de a fi uitat”. Dreptul nu este absolut și se aplică doar în anumite circumstanțe.
Când se aplică dreptul de a fi uitat?
Persoanele fizice au dreptul de a șterge datele lor personale dacă:
- datele nu mai sunt necesare pentru scopul pentru care le-ați colectat sau le-ați prelucrat inițial;
- vă bazați pe consimțământ ca temei legal pentru păstrarea datelor și persoana își retrage consimțământul;
- vă bazați pe interesul legitim ca temei pentru prelucrare, iar persoana obiectează la prelucrarea datelor și nu există niciun interes legitim pentru a continua această prelucrare;
- prelucrați datele personale în scopuri de marketing direct și persoana obiectează la prelucrarea respectivă;
- ați prelucrat datele cu caracter personal în mod ilegal;
- trebuie să faceți acest lucru pentru a respecta o obligație legală; sau ați prelucrat datele pentru a oferi unui copil servicii ale societății informaționale.
Cum se aplică dreptul de ștergere datelor colectate de la copii?
Se pune accent pe dreptul de a șterge datele cu caracter personal dacă cererea se referă la datele colectate de la copii. Aceasta reflectă protecția sporită a informațiilor copiilor, în special în mediul online, în cadrul GDPR.
Prin urmare, dacă prelucrați datele colectate de la copii, trebuie să acordați o importanță deosebită oricărei solicitări de ștergere, dacă prelucrarea datelor se bazează pe consimțământul dat de un copil – în special orice prelucrare a datelor personale pe internet. Acest lucru este valabil și în cazul în care persoana vizată nu mai este copil, deoarece este posibil ca un copil să nu fi fost pe deplin conștient de riscurile implicate de prelucrare în momentul acordării consimțământului.
Te-ar putea interesa și:
Trebuie să înștiințăm celelalte organizații despre ștergerea datelor cu caracter personal?
GDPR specifică două situații în care trebuie să comunicați altor organizații ștergerea datelor cu caracter personal:
- datele cu caracter personal au fost divulgate; sau
- datele personale au fost făcute publice într-un mediu online (de exemplu, pe rețelele sociale,forumuri sau site-uri web).
Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare destinatar și să îl informați despre ștergere, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate. Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.
GDPR definește un beneficiar ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căruia i se dezvăluie datele cu caracter personal. Definiția include operatoii, persoanele împuternicite și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite sunt autorizate să prelucreze date cu caracter personal.
În cazul în care datele cu caracter personal au fost făcute publice într-un mediu online, ar trebui luate măsuri rezonabile pentru a informa alți operatori care prelucrează datele cu caracter personal pentru a șterge legăturile, copiile sau replicarea acestor date. Atunci când decideți ce măsuri sunt rezonabile, trebuie să țineți cont de tehnologia disponibilă și costul implementării.
Trebuie să ștergem datele personale din sistemele backup?
Dacă se primește o solicitare valabilă de ștergere și nu se aplică nicio excepție, va trebui să luați măsuri pentru a asigura ștergerea din sistemele backup, precum și din sistemele live. Acești pași vor depinde de circumstanțele dvs. specifice, de programul dvs. de stocare (în special în contextul copierii de rezervă) și de mecanismele tehnice disponibile.
Trebuie să fiți absolut clari când înștiințați persoanele cu privire la ce se va întâmpla cu datele lor atunci când cererea lor de ștergere este îndeplinită, inclusiv în ceea ce privește sistemele backup. Este posibil ca cererea de ștergere să poată fi îndeplinită instantaneu în ceea ce privește sistemele live, dar ca datele să rămână în backup pentru o anumită perioadă de timp, până când va fi suprascris.
Problema cheie este de a pune datele de rezervă „dincolo de utilizare”, chiar dacă nu pot fi suprascrise imediat. Trebuie să vă asigurați că nu utilizați datele din copia de rezervă pentru niciun alt scop, ceea ce înseamnă că backup-ul este pur și simplu ținut pe sistemele dvs. până când este înlocuit în conformitate cu un program stabilit. Cu toate acestea, este puțin probabil ca păstrarea datelor cu caracter personal în rezervă să reprezinte un risc semnificativ, deși acest lucru va fi specific contextului.
Când nu se aplică dreptul de a fi uitat?
Dreptul de a fi uitat nu se aplică în cazul în care prelucrarea este necesară pentru persoana vizată în următoarele situații:
- când exercită dreptul la libertatea de exprimare și de informare;
- când trebuie să respecte o obligație legală;
- pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității publice;
- pentru scopuri de arhivare în interes public, cercetare științifică istorică sau scopuri statistice, în cazul în care ștergerea este de natură să facă imposibilă sau să afecteze în mod grav realizarea prelucrării respective; sau
- pentru stabilirea, exercitarea sau apărarea unui drept în instanță
De asemenea, GDPR specifică două situații în care dreptul de a fi uitat nu se aplică datelor de categorie specială:
- dacă prelucrarea este necesară în scopuri de sănătate publică în interesul public (de exemplu, protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau dispozitivelor medicale); sau
- în cazul în care prelucrarea este necesară în scopurile medicinii preventive sau profesionale (de exemplu, în cazul în care prelucrarea este necesară pentru capacitatea de muncă a unui angajat, pentru diagnosticul medical, pentru furnizarea de asistență medicală sau socială sau pentru gestionarea sănătății sau sociale sisteme sau servicii de îngrijire). Aceasta se aplică numai în cazul în care datele sunt prelucrate de către sau sub responsabilitatea unui profesionist care face obiectul unei obligații legale privind secretul profesional (de exemplu, un profesionist în domeniul sănătății).
Te-ar putea interesa si:
Putem refuza să ne conformăm unei cereri din alte motive?
Puteți refuza să vă conformați unei solicitări de ștergere dacă este vădit nefondată sau excesivă, luând în considerare dacă cererea are un caracter repetitiv.
Dacă considerați că o cerere este vădit nefondată sau excesivă, puteți să:
- solicitați o „taxă rezonabilă” pentru a răspunde cererii; sau
- refuza să răspundeți la cerere.
În ambele cazuri, va trebui să vă justificați decizia.
Ce ar trebui să facem dacă refuzăm să dăm curs unei cereri de ștergere?
Trebuie să informați persoana respectivă fără întârzieri nejustificate și în termen de o lună de la primirea cererii.
Trebuie să informați persoana despre:
- motivele pentru care nu acționați;
- dreptul lor de a adresa o plângere autorității de supraveghere și posibilitatea de a-și exercita acest drept printr-o cale de atac judecătorească.
De asemenea, trebuie să furnizați aceste informații dacă solicitați o taxă rezonabilă sau aveți nevoie de informații suplimentare pentru a identifica persoana respectivă.
