Pravica do izbrisa podatkov pomeni dolžnost upravljavca, da na zahtevo posameznika brezplačno in brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, kadar je podan kateri od sledečih razlogov:
- posameznik prekliče privolitev, na podlagi katere poteka obdelava osebnih podatkov,
- osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani,
- osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe od mladoletne osebe,
- osebni podatki so se obdelovali nezakonito,
- izbris zahteva zakon (zakonski rok hrambe je potekel),
- posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja (upravljavec nima pravice zavrniti ugovora),
- če bi moral upravljavec vaše podatke izbrisati zaradi svojih pravnih obveznosti, ki mu jih nalaga pravo države članice, ki velja zanj ali pravo EU.
V Evropski uniji je ta pravica urejena s Splošno uredbo o varstvu podatkov (»GDPR«). V Sloveniji se GDPR uporablja neposredno, vendar je varstvo osebnih podatkov urejeno tudi z Zakonom o varstvu osebnih podatkov (»ZVOP-2«).
Najprej si poglejmo opredelitve nekaj osnovnih izrazov na področju GDPR in varstva osebnih podatkov.
Osebni podatki so vsi podatki, ki pomenijo katero koli informacijo v zvezi z določenim ali določljivim posameznikom (na primer: ime, identifikacijska številka, podatki o lokaciji, spletni identifikator in podobno).
Obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov, z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, shranjevanje, vpogled, posredovanje, omejevanje, izbris, uničenje in podobno.
Upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave.
Obdelovalec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
Pravica do izbrisa je urejena v 17. členu GDPR.
Izbris osebnih podatkov ni možen vselej, ko:
- niste upravičeni do izbrisa, ker še vedno obstaja pravna podlaga za obdelavo, niste podali preklica privolitve, obdelavo upravljavcu nalaga zakon oz. kadar niso izpolnjeni razlogi;
- obstaja sicer razlog, da bi lahko bili upravičeni do izbrisa, vendar upravljavec vaše podatke še potrebuje za uresničevanje pravice do svobode izražanja in obveščanja, izvajanje svoje javne naloge ali naloge v javnem interesu, za uveljavljanje, izvajanje ali obrambo pravnimi zahtevki (3. odstavek 17. člena GDPR).
Postopek uveljavljanja pravice do izbrisa:
Pravico do izbrisa lahko posameznik uveljavlja pri upravljavcu, kateremu pošlje zahtevo za izbris osebnih podatkov. To pravico lahko posameznik uveljavlja kadarkoli. To lahko stori sam ali preko pooblaščenca.
Zahteva se vloži v pisni obliki. Informacijski pooblaščenec priporoča, da se zahteva pošlje priporočeno ali s povratnico, lahko pa tudi preko elektronske pošte. Ta mora vsebovati čim bolj podroben opis osebnih podatkov oziroma dokumentov, ki želite, da se izbrišejo.
Upravljavec mora na zahtevo odgovoriti brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko podaljša za dva meseca, če je to potrebno glede na kompleksnost in število zahtev. O tem, da se bo rok podaljšal, mora upravljavec obvestiti posameznika v roku enega meseca po prejemu zahteve.
Če upravljavec ne odgovori v določenem roku, nastopi molk.
Upravljavec o zahtevi odloči s pisnim obvestilom. V primeru, da upravljavec zahtevi ugodi, ne izda odločbe, temveč naredi uradni zaznamek in posameznika seznani z odločitvijo. V primeru, da upravljavec molči ali če poda zavrnilni odgovor, je zoper njega možna pritožba pri Informacijskem pooblaščencu. Pritožbeni postopek poteka po pravilih Zakona o splošnem upravnem postopku (»ZUP«).
Pritožbo zaradi zavrnitve zahteve je treba vložiti v 15 dneh od prejema pisnega odgovora upravljavca. Pritožba se vloži pri:
- pri upravljavcu, če je ta državni organ, lokalna skupnost ali nosilec javnih pooblastil (ta jo je po tem dolžan odstopiti Informacijskemu pooblaščencu);
- pri Informacijskem pooblaščencu, če upravljavec ni državni organ, lokalna skupnost ali nosilec javnih pooblastil.
Pritožba na podlagi molka upravljavca se lahko vloži kadarkoli po preteku roka za odgovor upravljavca. Pritožba se vloži pri Informacijskem pooblaščencu.