Odgovor
Općom uredbom o zaštiti podataka (OUZP) pojedincima se daje pravo da zatraže brisanje svojih podataka i organizacije su obvezne to učiniti, osim u sljedećim slučajevima:
- osobni podaci koje vaše društvo/organizacija posjeduje potrebni su radi ostvarivanja prava na slobodu izražavanja,
- postoji pravna obveza da držite te podatke,
- zbog javnog interesa (primjer: u svrhe javnog zdravlja, znanstvenog, statističkog ili povijesnog istraživanja).
Ako je vaše društvo/organizacija podatke obrađivalo nezakonito, morate ih izbrisati. U ako se radi o pojedincu, podaci koje ste prikupljali dok je još bio maloljetan moraju se izbrisati.
Kad je riječ o pravu na zaborav na internetu, od organizacija se očekuje da poduzmu razumne mjere (primjer: tehničke mjere) kako bi druge internetske stranice informirale o tome da je određeni pojedinac zatražio brisanje svojih osobnih podataka.
Podaci se mogu čuvati ako su pseudonimizirane u odgovarajućem procesu.
Primjeri
Podaci se ne moraju izbrisati
Vaše društvo/organizacija uređuje internetske novine. Jedan od vaših novinara objavio je priču o tome kako je političar oprao novac u off-shore bankama. Političar od vas traži da uklonite priču jer se obrađuju njegovi osobni podaci. Budući da se osobni podaci upotrebljavaju radi ostvarivanja prava na slobodu izražavanja, vaše društvo/organizacija načelno nije obvezno izbrisati te podatke. No to će ovisiti o nacionalnom zakonodavstvu koje je na snazi.
Podaci se moraju izbrisati
Vaše društvo/organizacija uređuje platformu društvene mreže. Maloljetnik učita fotografije, ali nekoliko godina kasnije zaključi da te fotografije potencijalno ugrožavaju njegove izglede u budućoj karijeri. Budući da je pojedinac u trenutku učitavanja bio maloljetan , vaše društvo/organizacija je dužno izbrisati te fotografije. Nadalje, ako su fotografije bile obrađene na drugim internetskim stranicama, vaše društvo/organizacija mora poduzeti razumne mjere kako biste ih obavijestili o tome da je podnesen zahtjev za brisanje fotografija.
Upućivanja
- Članak 17. i uvodne izjave (65) i (66) OUZP-a
- Smjernice Radne skupine iz članka 29. o provedbi presude Suda Europske unije od 13. svibnja 2014., Google Spain i Google, C-131/121, ECLI:EU:C:2014:3171
1 Sažetak presude može se pronaći u SL C 212, 7. 7. 2014., str. 4.
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.