Vastaus
Yleisellä tietosuoja-asetuksella annetaan yksilöille oikeus pyytää tietojensa poistoa, ja organisaatiot ovat velvoitettuja tekemään niin, lukuun ottamatta seuraavia tapauksia:
- yrityksesi/organisaatiosi tarvitsee säilyttämiään henkilötietoja sananvapauden harjoittamiseksi
- yritykselläsi/organisaatiollasi on lakisääteinen velvoite säilyttää kyseiset tiedot
- yleisen edun perusteella (esimerkiksi kansanterveys, tieteelliset tai historialliset tutkimustarkoitukset).
Jos yrityksesi/organisaatiosi on käsitellyt tietoja laittomasti, sen on poistettava ne. Tiedot, jotka on kerätty yksilöstä tämän ollessa alaikäinen, on poistettava.
Oikeus tulla unohdetuksi verkossa edellyttää organisaatioita ryhtymään kohtuullisiin (esimerkiksi teknisiin) toimiin ilmoittaakseen muille verkkosivustoille, että kyseinen henkilö on pyytänyt henkilötietojensa poistoa.
Tiedot voidaan säilyttää myös, jos ne on anonymisoitu asianmukaisesti.
Esimerkkejä
Tietoja ei tarvitse poistaa
Yrityksesi/organisaatiosi on verkossa toimiva sanomalehti. Yksi toimittajistasi julkaisee artikkelin poliitikosta, joka on pessyt rahaa veroparatiisissa. Poliitikko vaatii artikkelin poistamista, koska siinä on käsitelty hänen henkilötietojaan. Tässä tapauksessa henkilötietoja on käytetty sananvapauden harjoittamiseksi, joten yrityksesi/organisaatiosi ei periaatteessa ole velvoitettu poistamaan tietoja. Tämä riippuu kuitenkin kansallisesta lainsäädännöstä.
Tiedot pitää poistaa
Yrityksesi/organisaatiosi on sosiaalisen median verkkoalusta. Alaikäinen lataa alustalle valokuvia. Muutaman vuoden päästä hän päättää, että kyseiset valokuvat voivat haitata hänen uranäkymiään. Henkilö oli kuvat ladatessaan alaikäinen, joten yrityksesi/organisaatiosi on velvoitettu poistamaan kuvat. Lisäksi jos kuvia on käsitelty muilla verkkosivustoilla, Yrityksesi/organisaatiosi on ryhdyttävä kohtuullisiin toimiin ilmoittaaksesi kyseisille verkkosivustoille henkilön pyynnöstä poistaa kuvat.
Viitteet
- Artikla 17; johdanto-osan kappaleet 65, 66
- Artiklan 29 mukaisen työryhmän suuntaviivat Euroopan unionin tuomioistuimen tuomion Google Spain ja Google, C-131/121, ECLI:EU:C:2014:317, täytäntöönpanosta1
1 Tuomion tiivistelmä, ks. EUVL C 212, 7.7.2014, s. 4.
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.