Svar
Den allmänna dataskyddsförordningen ger enskilda personer rätt att be att deras uppgifter raderas, och organisationer har en skyldighet att göra detta, utom i följande fall:
- när de personuppgifter som ert företag/er organisation har behövs för att utöva rätten till yttrandefrihet,
- när det finns en lagstadgad skyldighet att behålla uppgifterna
- när det föreligger skäl av allmänt intresse (t.ex. folkhälsa, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål).
Om ert företag/er organisation har behandlat uppgifter olagligt måste de raderas. När det gäller enskilda personer måste uppgifter insamlade när personen i fråga fortfarande var minderårig raderas.
När det gäller rätten att bli bortglömd online, förväntas organisationer vidta rimliga åtgärder (t.ex. tekniska åtgärder) för att informera andra webbplatser om att en viss enskild person har begärt radering av sina personuppgifter.
Uppgifter kan också behållas om de har genomgått en lämplig anonymiseringsprocess.
Exempel
Uppgifter behöver inte raderas
Ert företag/er organisation driver en tidning online. En av företagets/organisationens journalister publicerar en artikel om hur en politiker har tvättat pengar i offshore-banker. Politikern ber er att ta bort artikeln eftersom hans personuppgifter behandlas. Eftersom personuppgifterna används för att utöva rätten till yttrandefrihet, måste ert företag/er organisation i princip inte radera uppgifterna. Detta beror dock på den gällande nationella lagstiftningen.
Uppgifter måste raderas
Ert företag/er organisation driver en social medieplattform. En minderårig laddar upp foton, men några år senare bestämmer han sig för att dessa foton skulle kunna skada hans karriärutsikter. Eftersom personen var minderårig vid uppladdningstillfället har ert företag/er organisation en skyldighet att radera nämnda foton. Om fotona har behandlats på andra webbplatser, måste ert företag/er organisation dessutom vidta skäliga åtgärder för att informera dessa om att en begäran att radera fotona lämnats in.
Referenser
- Artikel 17; skäl 65, 66
- Artikel 29-arbetsgruppens riktlinjer för genomförandet av Europeiska unionens domslut av den 13 maj 2014, Google Spain och Google, C-131/12, ECLI:EU:C:2014:3171
1 En sammanfattning av domen finns i EUT C 212, 7.7.2014, s. 4.
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.