(e) osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;
2. Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 17(2) GDPR:
8.3.1 Обязательства по отношению к субъектам ПИИ
Средство управления
Организация должна обеспечить клиента механизмами выполнения своих обязательств, связанных с принципами ПИИ.
Руководство по внедрению
Обязанности контролера ПИИ могут быть определены законодательством, регламентом и / или договором.
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 17(3) GDPR:
7.2.2 Определение правового основания
Средство управления
Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.
Руководство по внедрению
В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.
…
Войти
для доступа к полному тексту
(b) za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;
Так называемое «право быть забытым» стало прорывом с принятием Общего регламента защиты персональных данных (GDPR), хотя оно и существовало в ограниченной форме раньше. Статья 17 предусматривает «право на удаление» в более широком смысле с учетом точной формулировки положения. Резиденты Европейского Союза имеют право требовать удаления своих персональных данных, а организация, хранящая данные, обязана удалить их «без неоправданной задержки» при определенном числе обстоятельств.
Главный вклад этой статьи действительно состоит в создании условий для осуществления такого права. Это служит основанием, по которому лицо имеет право требовать удаления своих данных (преамбула 65). К статье можно обратиться, если…
…
Войти
для доступа к полному тексту
(EN)
Concern: Request to erase my personal data
Dear Madam, Dear Sir,
You have data concerning me that I am asking you to delete…
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 17 GDPR:
7.3.6 Доступ, исправление и / или удаление
Средство управления
Организация должна внедрить политику, процедуры и / или механизмы для выполнения своих обязательств перед субъектами ПИИ по доступу, исправлению и / или удалению своей ПИИ.
Руководство по внедрению
Организация должна внедрить политики, процедуры и / или механизмы, позволяющие субъектам ПИИ получать доступ, исправлять и стирать свою ПИИ, если это требуется и без неоправданной задержки.
…
Войти
для доступа к полному тексту
(65) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do popravka osebnih podatkov v zvezi z njim in „pravico do pozabe“, kadar hramba takih podatkov krši to uredbo ali pravo Unije ali pravo države članice, ki velja za upravljavca. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti zlasti pravico do tega, da se njegovi osebni podatki izbrišejo in se ne obdelujejo več, kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani, kadar posameznik, na katerega se nanašajo osebni podatki, prekliče svojo privolitev ali ugovarja obdelavi osebnih podatkov, ki se nanašajo nanj, ali kadar obdelava njegovih osebnih podatkov kako drugače ni v skladu s to uredbo. Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok in se ni v celoti zavedal tveganj, povezanih z obdelavo, ter želi pozneje take osebne podatke odstraniti, zlasti z interneta. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti možnost, da to pravico uresničuje ne glede na dejstvo, da ni več otrok. Vendar bi morala biti nadaljnja hramba osebnih podatkov zakonita, če je to potrebno za uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravnih obveznosti, izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, iz razlogov javnega interesa na področju javnega zdravja, za namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
(66) Za učinkovitejše uresničevanje pravice do pozabe v spletnem okolju bi bilo treba pravico do izbrisa razširiti tako, da bi zahtevali, da upravljavec, ki je osebne podatke objavil, sprejme razumne, tudi tehnične, ukrepe, da obvesti upravljavce, ki take osebne podatke obdelujejo, da je posameznik, na katerega se nanašajo osebni podatki, zahteval izbris vseh povezav do teh osebnih podatkov ali kopij teh osebnih podatkov. Pri tem bi moral upravljavec ob upoštevanju razpoložljive tehnologije in sredstev, ki jih ima na voljo, vključno s tehničnimi ukrepi, sprejeti razumne ukrepe, da bi upravljavce, ki obdelujejo osebne podatke, obvestil o zahtevi posameznika, na katerega se nanašajo osebni podatki.
(EN)
Article 29 Working Party, Guidelines on the Implementation of the Court of Justice of the European Union Judgment on Google Spain Inc. v. Agencia Española de protección de datos (AEPD) and Mario Costeja González C-131/12 (2014).
EDPB, Guidelines 5/2019 on the Criteria of the Right to be Forgotten in the Search Engines Cases under the GDPR (part 1) (2019).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014).
CJEU, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce/Manni, C-398/15 (2019).
CJEU, GC e.a./Commission nationale de l’informatique et des libertés, C-136/17 (2019).
CJEU, Google LLC/Commission nationale de l’informatique et des libertés, C-507/17 (2019).
(EN)