Ce este dreptul de ștergere al datelor sau dreptul de a fi uitat?
Acest drept menționat în regulamentul GDPR, permite persoanelor vizate, în anumite condiții. să ceară operatorilor ștergerea tuturor datelor persoanale pe care aceștia le prelucrate și care îî privesc.
Moduri de exercitare
Persoana vizată poate să facă o solicitare operatorului în care să precizeze datele ei de identificare și pe cât posibil contextul în care are loc solicitarea. Operatorul are la dispoziție o perioada de o lună (care poate fi prelungită justificat la două) în care să analizeze cererea și să îi dea curs. Dreptul nu este absolut și nu este singurul care poate fi folosit pentru a restricționa prelucrarea datelor.
Pentru o exercitare corectă, solicitarea ar trebui să facă uz și de dreptul la acces la informații, prin care persoana vizată va putea primi detalii despre toate prelucrările de date cu caracter personal care o privesc, precum și de scopurile și temeiurile pe care se bazează aceste prelucrări.
Solicitarea poate fi adresată oricărui angajat al operatorului, dar pentru operativitate este indicat să se identifice în prealabil structura organizațională care este abilitată să se ocupe cu acest gen de solicitări (departamentul Protecția datelor sau cel de Relații cu publicul).
Care sunt condițiile de exercitare a dreptului de stergere?
Persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive: - datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
Exemplu: când persoana vizată renunță la un abonament la o sală de fitness, operatorul nu mai are nevoie de datele ei personale care conție vârsta sau detalii legate de sănatate.
- persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea şi nu există niciun alt temei juridic pentru prelucrarea datelor;
Exemplu: persoana vizată a optat pentru primirea unui newsletter, iar apoi si-a retras consimțământul, operatorul nu mai are nevoie de prelucrarea adresei de email a acesteia.
- persoana vizată se opune prelucrării şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea datelor; - datele cu caracter personal au fost prelucrate ilegal;
Exemplu: operatorul a înscris ilegal persoana vizată într-o lista de notificări comerciale.
- datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa căruia se află operatorul;- datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale copiilor.
Exemplu: copilul a deschis un cont pe o rețea de socializare, iar parintele faceo solicitare de îmchidere a contului.
În cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, să le şteargă, operatorul, ţinând seama de tehnologia disponibilă şi de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
Când nu se aplică dreptul de a fi uitat?
Dreptul de ștergere nu se aplică în măsura în care prelucrarea este necesară:- pentru exercitarea dreptului la liberă exprimare şi la informare;- pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul;- din motive de interes public în domeniul sănătăţii publice;- în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în măsura în care dreptul de a fi uitat este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; - pentru constatarea, exercitarea sau apărarea unui drept în instanţă.
Cum se aplică dreptul de ștergere datelor colectate de la copii?
Se pune accent pe dreptul de a șterge datele cu caracter personal dacă cererea se referă la datele colectate de la copii. Aceasta reflectă protecția sporită a informațiilor copiilor, în special în mediul online, în cadrul GDPR.Prin urmare, dacă prelucrați datele colectate de la copii, trebuie să acordați o importanță deosebită oricărei solicitări de ștergere, dacă prelucrarea datelor se bazează pe consimțământul dat de un copil – în special orice prelucrare a datelor personale pe internet. Acest lucru este valabil și în cazul în care persoana vizată nu mai este copil, deoarece este posibil ca un copil să nu fi fost pe deplin conștient de riscurile implicate de prelucrare în momentul acordării consimțământului.
Informarea procesatorilor de date.
Există doua situații în care operatorul trebuie să comunice altor organizații obligativitatea ștergerii datelor cu caracter personal:- datele cu caracter personal au fost divulgate; sau- datele personale au fost făcute publice într-un mediu online (de exemplu, pe rețelele sociale,forumuri sau site-uri web).
Dacă datele cu caracter personal au fost divulgate unor părți terțe, operatorul trebuie să contacteze fiecare destinatar și să îl informeze despre ștergere, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate. La cererea persoanei vizate, operatorul trebuie, de asemenea, să o informeze despre toți acești destinatari.
GDPR definește un beneficiar ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căruia i se dezvăluie datele cu caracter personal. Definiția include operatoii, persoanele împuternicite și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite sunt autorizate să prelucreze date cu caracter personal.
În cazul în care datele cu caracter personal au fost făcute publice într-un mediu online, ar trebui luate măsuri rezonabile pentru a informa alți operatori care prelucrează datele cu caracter personal pentru a șterge legăturile, copiile sau replicarea acestor date. Este la atitudinea operatorului să decidă ce măsuri sunt rezonabile, ținând cont de tehnologia disponibilă și costul implementării.
Poate operatorul să perceapă o taxă pentru ștergerea datelor?
În mod uzual, nu. Totuși. în situația în care cererea este abuzivă sau excesivă, operatorul poate formula prenția justificată la o taxă de administrare a costurilor legate de procesarea cererii.
Ștergerea datelor din sistemele de backup
Dacă se primește o solicitare valabilă de ștergere și nu se aplică nicio excepție, operatorul va trebui să ia măsuri pentru a asigura ștergerea din sistemele backup, precum și din sistemele utilizate în activitatea curentă. Operatorul va stabili singur procedurile specifice prin care va opera aceste modficări ținând seama de proporționalitatea eforului de implementareși de mecanismele tehnice disponibile.
Notificarea persoanei vizate
Ulterior analizei cererii, operatorul trebuie să notifice persoana vizată cu privire la felul cum a decis să soluționeze solicitarea. Este posibil ca cererea de ștergere să poată fi îndeplinită instantaneu în ceea ce privește sistemele folosite în activitatea curentă, dar ca datele să rămână în backup pentru o anumită perioadă de timp, până când acesta va fi suprascris.
Operatorul trebuie să indisponibilizeze datele personale în cauză, chiar dacă nu poate să le elimine complet imediat. Este puțin probabil ca păstrarea datelor cu caracter personal în sistemele de backup să reprezinte un risc semnificativ, deși acest lucru va fi specific contextului.
Operatorul trebuie să ia măsura documentării cererilor, precum și a rezolvării acestora folosind un registru de cereri prin intermediul căruia să poată dovedi, într-un mod jurnalizat felul cum a relaționat cu persoana vizată.