Odpověď
Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) dává fyzickým osobám právo požádat o odstranění jejich osobních údajů a organizace mají povinnost tak učinit, s výjimkou následujících případů:
- osobní údaje, které vaše společnost/organizace má, jsou nutné pro výkon práva na svobodu projevu,
- existuje právní povinnost tyto údaje uchovat,
- z důvodů veřejného zájmu (např. účely veřejného zdraví, vědeckého, statistického či historického výzkumu).
Pokud vaše společnost/organizace osobní údaje zpracovala protiprávně, musí je odstranit. V případě fyzické osoby, jejíž údaje byly shromážděny když byla ještě nezletilá, musí být údaje odstraněny.
Pokud jde o právo být zapomenut online, očekává se, že organizace podniknou přiměřené kroky (např. technická opatření), aby informovaly další weby, že příslušná osoba požádala o výmaz svých osobních údajů.
Osobní údaje lze také uchovávat, pokud prošly náležitým procesem anonymizace.
Příklady
Osobní údaje není nutné odstranit
Vaše společnost/organizace má internetové noviny. Jeden z vašich novinářů publikuje článek o tom, že jistý politik pral špinavé peníze přes offshorové banky. Politik požádá o odstranění článku, protože dochází ke zpracování jeho osobních údajů. Vzhledem k tomu, že osobní údaje jsou používány pro výkon práva na svobodu projevu, vaše společnost/organizace není v zásadě povinna takové údaje odstranit. To však závisí na platných vnitrostátních předpisech.
Osobní údaje je nutné odstranit
Vaše společnost/organizace provozuje platformu sociálních sítí. Nezletilý nahraje nějaké fotografie; po několika letech však dojde k závěru, že tyto fotografie mohou potenciálně poškodit jeho kariérní vyhlídky. Vzhledem k tomu, že tento člověk byl v době nahrání nezletilou osobou, vaše společnost/organizace má povinnost tyto fotografie odstranit. Kromě toho, pokud tyto fotografie byly zpracovány na dalších webech, musí vaše společnost/organizace podniknout přiměřené kroky a informovat je o žádosti o odstranění těchto fotografií.
Odkazy
- Článek 17 a odůvodnění 65 a 66 GDPR
- Instrukce pracovní skupiny podle článku 29 o provádění rozsudku Soudního dvora Evropské unie ze dne 13. května 2014, Google Spain a Google, C-131/12, ECLI:EU:C:2014:3171
1 Souhrn rozsudku je k dispozici v Úř. věst. C 212, 7.7.2014, s. 4.
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.