Ali moram na zahtevo kupca res izbrisati vse podatke o njem…

… ali obstajajo kakšne izjeme in katere?

Zahtevo po izbrisu osebnih podatkov je ena izmed pravic posameznika, ki izhaja iz GDPR. Na kakšen način jo posamezniki uresničujejo in kako jo izvrševati pa si bomo pogeldali v tem prispevku.

Pravica do izbrisa osebnih podatkov, ki je v javnosti bolj znana pod imenom “pravica do pozabe“ je torej ena izmed pravic posameznika, ki jih omogoča GDPR. Pravica do izbrisa je urejena v 17. členu GDPR, v katerem so podrobneje določene tudi omejitve za izbris.

GDPR opredeljuje 6 razlogov, na podlagi katerih lahko posameznik, na katerega se osebni podatki nanašajo zahteva izbris osebnih podatkov. Na tej točki je torej potrebno poudariti, da je pravica do izbrisa (oz. do pozabe) omejena.

Tako npr. posameznik od nas ne more zahtevati izbrisa osebnih podatkov, če nam zakon nalaga takšno hrambo. Tipičen primer so npr. izdani računi, kjer zakonodaja nalaga hrambo 10ih let. V primeru, da bi naša stranka zahtevala izbris svojih osebnih podatkov, izbris računov tako nikakor ne pride v poštev, saj je hramba vaša obveznost na podlagi zakona.

Tako smo spoznali prvo omejitev zahteve po izbrisu osebnih podatkov in to je zakon. Kadar hrambo (oz. obdelavo) nalaga zakon, zahteva posameznikapo izbrisu teh podatkov ni mogoča. Seveda je potrebno v poštev vzeti, da to velja samo za obseg podatkov, katere obdelavo nam nalaga zakonodaja in za obdobje, ki ga nalaga zakonodaja.

Naslednjo omejitev zahtevi po izbrisu osebnih podatkov predstavlja sklenjena pogodba. Osebne podatke namreč lahko potrebujemo, da izvedemo storitve po pogodbi, zato pravica do izbrisa v veljavno sklenjeno pogodbo ne more poseči.

Tudi v tem primeru, je potrebno skrbno določiti obseg podatkov, ki jih dejansko potrebujemo za izvedbo pogodbo ter določiti obdobje, v katerem bomo te podatke dejansko obdelovali.

Kdaj pa je potem izbris potreben?

Nedvomno je potrebno podatke izbrisati, kadar jih obdelujemo na podlagi soglasja posameznika. Soglasje, ki ga poda posameznik, je vedno možno umakniti. Gre za zelo pomemben aspekt soglasja kot pravne podlage, saj posamezniku, katerega osebne podatke obdelujemo, daje največji nadzor nad obdelavo osebnih podatkov. Zavedati se namreč moramo, da ima tak posameznik soglasje pravico kadarkoli umakniti.

Prav tako smo dolžni osebne podatke izbrisati kadar:

  • je namen obdelave (za katere smo osebne podatke zbrali) že izpolnjen;
  • posamenzik poda ugovor k obdelavi osebnih podatkov, za obdelavo pa ne obstajajo prevladujoči zakoniti razlogi;
  • so bili osebni podatki zbrani oz. obdelani nezakonito;
  • izbris nalaga zakonodaja;
  • gre za obdelavo podatkov otrok v okviru storitev informacijske družbe.
Kako določiti obseg izbrisa, ko prejmete zahtevo po izbrisu osebnih podatkov?

Videli smo, da pravica do izbrisa ni neomejena in absolutna, hkrati pa na določenih točkah od upravljavcev osebnih podatkov zahteva, da nemudoma izvedejo izbris.

Katere podatke izbrisati in katere ne, bomo najlažje vedeli tako, da bomo natančno določi namene in pravno podlago za osebne podatke, ki jih obdelujemo v podjetju. Ko bo torej popis podatkov (t.i. data flow) jasen in bo odražal dejansko stanje v podjetju, bomo lažje določili tiste podatke, ki jih zahteva za izbris zadeva in tiste, ki jih ne smemo izbrisati.

Potrebno je namreč poudariti, da izbris neustreznih podatkov lahko povzroči prekršek po kakšni drugi zakonodaji, ki nas zavezuje (npr. izbris računov pred zakonskim rokom predstavlja prekršek po veljavni davčni zakonodaji). Drugače bi že vsi poslali zahtevo za “pozabo“ na davčne urade, kajne? 😉

Da vas zahteva po izbrisu ne bi ujela v takšen primež, se je vsake zahteve potrebno lotiti premišljeno in upoštevajoč lastno stanje v podjetju.

Niste prepričani kateri osebni podatki so za izbris in kateri ne?  

Naj vam pomagamo!

Obrnite se na nas na ana@consilium.si ali na 064 229 447.