Odpoveď
Podľa všeobecného nariadenia o ochrane údajov (GDPR) majú jednotlivci právo požiadať o vymazanie ich údajov a organizácie sú skutočne povinné urobiť tak, okrem týchto prípadov:
- osobné údaje, ktoré vaša spoločnosť/organizácia má, sú nevyhnutné na uplatnenie práva na slobodu prejavu;
- existuje právny záväzok uchovávať tieto údaje;
- z dôvodov verejného záujmu (napr. verejné zdravie, vedecké, štatistické alebo historické výskumné účely).
Ak vaša spoločnosť/organizácia spracúvala údaje nezákonne, musí ich vymazať. V prípade jednotlivca musia byť vymazané údaje, ktoré boli zozbierané, keď bol ešte maloletý.
Pokiaľ ide o právo byť zabudnutý online, od organizácií sa očakáva, že prijmú opodstatnené kroky (napr. technické opatrenia), aby informovali ostatné webové lokality, že daný jednotlivec požiadal o vymazanie svojich osobných údajov.
Údaje sa tiež môžu uchovávať, ak boli podrobené primeranému postupu anonymizácie.
Príklady
Údaje sa nemusia vymazať
Vaša spoločnosť/organizácia prevádzkujete internetové noviny. Niektorý z vašich novinárov zverejní reportáž o tom, ako politik pral špinavé peniaze v offshoreových bankách. Politik požiada o odstránenie reportáže, pretože sa spracúvajú jeho osobné údaje. Keďže sa použili osobné údaje na uplatnenie práva na slobodu prejavu, vaša spoločnosť/organizácia v zásade nie je povinná vymazať tieto údaje. Bude to však závisieť od platných vnútroštátnych predpisov.
Údaje sa musia vymazať
Vaša spoločnosť/organizácia prevádzkujete platformu sociálnej siete. Maloletá osoba nahrá fotografie, no o niekoľko rokov sa rozhodne, že dané fotografie môžu poškodiť jej kariérne vyhliadky. Keďže tento jednotlivec bol maloletý v čase nahratia, vaša spoločnosť/organizácia je povinná vymazať dotknuté fotografie. Navyše, ak boli fotografie spracované na iných webových lokalitách, vaša spoločnosť/organizácia musí prijať opodstatnené kroky, aby ich informovala o podaní žiadosti o vymazanie fotografií.
Odkazy
- článok 17 a odôvodnenia 65, 66 GDPR
- usmernenia pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 k vykonávaniu rozsudku Súdneho dvora z 13. mája 2014, Google Španielsko a Google, C-131/121, ECLI:EU:C:2014:3171
1 Súhrn rozsudku je k dispozícii v Ú. v. EÚ C 212, 7.7.2014, s. 4
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.