a) personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;
e) personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts juridisks pienākums, kas noteikts Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim;
2. Ja pārzinis ir publiskojis personas datus un tā pienākums saskaņā ar 1. punktu ir minētos personas datus dzēst, pārzinis, ņemot vērā pieejamo tehnoloģiju un tās piemērošanas izmaksas, veic saprātīgus pasākumus, tostarp tehniskus pasākumus, lai informētu pārziņus, kas veic personas datu apstrādi, ka datu subjekts ir pieprasījis, lai minētie pārziņi dzēstu visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumus.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.
Here is the relevant paragraph to article 17(2) GDPR:
8.3.1 Obligations to PII principals
Control
The organization should provide the customer with the means to comply with its obligations related to PII principals.
Implementation guidance
A PII controller’s obligations can be defined by legislation, by regulation and/or by contract.
…
Pieslēgties
lai piekļūtu pilnam tekstam
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 17(3) GDPR:
7.2.2 Identify lawful basis
Control
The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.
Implementation guidance
Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.
…
Pieslēgties
lai piekļūtu pilnam tekstam
b) lai izpildītu juridisku pienākumu, kas prasa veikt apstrādi, kā paredzēts Savienības vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu;
(EN) The so-called “right to be forgotten” was hailed as a breakthrough with the adoption of the General Data Protection Regulation, even though it existed in a limited form before. Article 17 provides for a broader “right to erasure”, to take into account the exact wording of the provision. European Union residents have a right to ask for the deletion of their personal data, and the organization that holds the data has a corresponding obligation to erase them “without undue delay” under a certain number of circumstances.
…
Pieslēgties
lai piekļūtu pilnam tekstam
(EN)
Concern: Request to erase my personal data
Dear Madam, Dear Sir,
You have data concerning me that I am asking you to delete…
…
Pieslēgties
lai piekļūtu pilnam tekstam
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 17 GDPR:
7.3.6 Access, correction and/or erasure
Control
The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.
Implementation guidance
The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.
…
Pieslēgties
lai piekļūtu pilnam tekstam
(65) Datu subjektam vajadzētu būt tiesībām uz savu personas datu labošanu un “tiesībām tikt aizmirstam”, ja šādu datu glabāšana pārkāpj šo regulu vai Savienības vai dalībvalsts tiesību aktus, kas ir piemērojami pārzinim. Jo īpaši datu subjektam vajadzētu būt tiesībām uz savu personas datu dzēšanu un apstrādes neturpināšanu, ja personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie vākti vai citādi apstrādāti, ja datu subjekts ir atsaucis savu piekrišanu apstrādei vai iebilst pret savu personas datu apstrādi, vai ja viņu personas datu apstrāde citā veidā neatbilst šai regulai. Minētās tiesības ir īpaši svarīgas, ja datu subjekts ir devis savu piekrišanu kā bērns, pilnībā neapzinoties ar apstrādi saistītos riskus, un vēlāk vēlas izņemt šādus personas datus, jo īpaši no interneta. Datu subjektam būtu jāvar īstenot minētās tiesības, neraugoties uz to, ka viņš vairs nav bērns. Tomēr personas datu turpmākai saglabāšanai vajadzētu būt likumīgai, ja tas ir nepieciešams, lai īstenotu tiesības uz vārda brīvību un informāciju, lai izpildītu juridisku pienākumu, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim piešķirtas oficiālas pilnvaras, pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā, arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.
(66) Lai stiprinātu tiesības tikt aizmirstam tiešsaistes vidē, arī tiesības uz dzēšanu būtu jāpaplašina tā, lai pārzinim, kas ir publiskojis personas datus, būtu pienākums informēt pārziņus, kuri apstrādā šādus personas datus, par to, ka ir jādzēš visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumi. To darot, pārzinim būtu jāveic saprātīgi pasākumi, ņemot vērā pieejamo tehnoloģiju un pārziņa rīcībā esošos līdzekļus, tostarp tehniskie pasākumi, ar ko pārziņus, kuri apstrādā personas datus, informē par datu subjekta pieprasījumu.
(EN)
Article 29 Working Party, Guidelines on the Implementation of the Court of Justice of the European Union Judgment on Google Spain Inc. v. Agencia Española de protección de datos (AEPD) and Mario Costeja González C-131/12 (2014).
EDPB, Guidelines 5/2019 on the Criteria of the Right to be Forgotten in the Search Engines Cases under the GDPR (part 1) (2019).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014).
CJEU, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce/Manni, C-398/15 (2019).
CJEU, GC e.a./Commission nationale de l’informatique et des libertés, C-136/17 (2019).
CJEU, Google LLC/Commission nationale de l’informatique et des libertés, C-507/17 (2019).
(EN)