Direktiva GDPR posameznikom, katerih podatke obdelujemo, podeljuje določene pravice. Posameznik ima pravico:
- zahtevati od upravljavca informacije o osebnih podatkih, ki jih ta obdeluje o njem,
- zahtevati dostop do lastnih osebnih podatkov,
- zahtevati popravek svojih osebnih podatkov,
- ugovarjati nadaljnji obdelavi osebnih podatkov,
- zahtevati omejitev obdelave osebnih podatkov,
- zahtevati prenos osebnih podatkov k drugemu upravljavcu,
- preklicati dano soglasje in
- zahtevati izbris osebnih podatkov.
V tem prispevku si bomo ogledali pravico do izbrisa osebnih podatkov nekoliko pobliže.
Pravica do izbrisa osebnih podatkov je urejena v 17. členu GDPR, kjer so opredeljeni pogoji in tudi omejitve izvedbe izbrisa. Izbris osebnih podatkov je posamezniku na voljo na zahtevo, ki jo posameznik naslovi na upravljavca osebnih podatkov. Pomembno je poudariti, da posameznik ni dolžan uporabiti določene forme za vložitev zahteve.
Upravljavec ima na voljo 30 dni za pripravo odgovora. Izjemoma je mogoče ta rok podaljšati na 60 dni, če je zahteva obsežna in bi upravljavec potreboval dlje časa, da jo izpolni. Takšno podaljšanje roka za odgovor je možno le, če smo predhodno o tem obvestili posameznika, ki je zahteval izbris osebnih podatkov.
Vsaka obdelava osebnih podatkov, ki poteka v podjetju, mora imeti določeno pravno podlago in namen obdelave
Vsako zahtevo za izbris osebnih podatkov, ki jo prejmemo v podjetju, je treba obravnavati, saj pravica do izbrisa ni neomejena. Tako na primer upravljavec ne sme izbrisati osebnih podatkov, katerih hrambo mu nalaga zakon (na primer davčna zakonodaja), ali pa podatkov, ki jih upravljavec potrebuje za izpolnitev veljavne pogodbe.
Spoznali smo torej dve omejitvi pravice do izbrisa osebnih podatkov: zakonske zahteve in pogodbene obveznosti.
Kdaj je potem podatke treba izbrisati?
Skladno s 17. členom GDPR smo dolžni osebne podatke izbrisati, kadar:
- je namen obdelave (za katere smo osebne podatke zbrali) že izpolnjen;
- posameznik poda ugovor k obdelavi osebnih podatkov, za obdelavo pa ne obstajajo prevladujoči zakoniti razlogi;
- so bili osebni podatki zbrani oziroma obdelani nezakonito;
- izbris nalaga zakonodaja;
- gre za obdelavo podatkov otrok v okviru storitev informacijske družbe.
Prav tako smo podatke vedno dolžni izbrisati, kadar jih obdelujemo na pravni podlagi privolitve.
Da bi ustrezno določili, katere osebne podatke je treba izbrisati, moramo poznati podatkovne tokove v lastnem podjetju in se podrobno seznaniti s pravno podlago in namenom obdelave, ki je bila določena za posamično obdelavo, ki poteka v podjetju.
Vsaka obdelava osebnih podatkov v podjetju (na primer izvajanje storitev, pošiljanje e-novic) mora imeti določeno pravno podlago in namen obdelave. Gre za temelj skladnosti z GDPR, brez katerega varstva osebnih podatkov ne moremo izvajati na ustrezni ravni.
V tem prispevku smo spoznali eno izmed pravic posameznika, ki jim pripadajo po GDPR, to je pravico do izbrisa osebnih podatkov. Pogledali smo si, kdaj je treba pravici ugoditi in kakšne so njene omejitve, saj pravica do izbrisa ni absolutna.
Vsako zahtevo posameznika, s katero ti izvršujejo svoje pravice, je treba reševati glede na okoliščine, v katerih je bila prejeta, in upoštevati dejansko stanje v podjetju. Tako bomo dosegli, da bodo zahteve ustrezno izpolnjene, hkrati pa se izognili tveganju, da bi s čezmernim izbrisom prekršili določila drugih zakonodaj (na primer predčasni izbris računa predstavlja prekršek po davčni zakonodaji) ali veljavnih pogodb.
Avtorica prispevka Ana Antunićević je pravnica, ustanoviteljica in direktorica podjetja Consilium, pravno svetovanje.
