Право на видалення або ж «право на забуття» згідно з General Data Protection Regulation (GDPR)

28 Січня 2021

Поряд з іншими правами, які передбачаються в General Data Protection Regulation (GDPR), існує право на забуття, що є одним із основоположних прав в сфері приватності, які гарантуються європейським законом.

Підґрунтя для права на забуття

Саме поняття права на забуття випливає із справи Google Spain SL, Google Inc проти Agencia Española de Protección de Datos, Mario Costeja González), яка мала місце в 2014 році. За результатами рішення суду в цій справі, будь-яка пошукова система Інтернету повинна розглядати запити окремих осіб щодо видалення посилань на веб-сторінки, що мають вільний доступ, в результаті пошуку за їх ім’ям. Підстави для видалення таких даних включають випадки, коли результати пошуку здаються особам, що подають запит, неадекватними, неактуальними або вже не мають значення у світлі минулого часу.

Вперше право на забуття було кодифіковано і регламентовано GDPR, і це є переломним моментом для можливості реалізації цього права в рамках законних вимог, адже раніше не існувало законодавчо закріплених вимог щодо реалізації такого права.

Назване вище право, в першу чергу, регулює зобов’язання щодо стирання даних компанією, яка їх використовує. Мається на увазі, що персональні дані повинні бути негайно видалені, якщо вони, наприклад, більше не потрібні для їх початкової мети обробки, або суб’єкт даних відкликав свою згоду на обробку персональних даних, і немає жодної іншої правової підстави для їхньої подальшої обробки. Крім того, персональні дані, природно, слід видаляти, якщо сама обробка в першу чергу суперечить вимогам законодавства.

Що таке право на видалення («право на забуття»)

Суб’єкт даних повинен мати право на видалення своїх персональних даних, яке повинна реалізувати компанія, що визнана контролером даних, в контексті GDPR, без будь-якої безпідставної затримки. Також, компанія – контролер зобов’язана видалити персональні дані без будь-якої необґрунтованої затримки у разі виникнення однієї наведених нижче підстав:

  • немає більше потреби в персональних даних, зокрема для цілей, для яких ці персональні дані збиралися чи іншим чином оброблювалися;
  • суб’єкт даних відкликає свою згоду на обробку персональних даних, на якій ґрунтується обробка, згідно з положеннями статті 6 або статті 9 GDPR, та якщо немає іншої законної підстави для подальшої обробки даних;
  • суб’єкт даних заперечує проти обробки персональних даних, коли такі дані оброблюються для цілей (і) виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на компанію – контролера; або (іі) для цілей реалізації законних інтересів компанії – контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб’єкта даних, що вимагають охорони персональних даних, особливо, якщо суб’єктом даних є дитина, та немає жодних першочергових законних підстав для подальшої обробки персональних даних, або суб’єкт даних заперечує проти опрацювання, коли його персональні дані оброблюються для цілей прямого маркетингу;
  • персональні дані оброблюються компанією – контролером незаконно;
  • персональні дані необхідно видалити для дотримання встановленого законом зобов’язання,
    закріпленого в законодавстві Європейського Союзу або держави-члена ЄС, яке поширюється на компанію – контролера;
  • персональні дані збиралися в зв’язку з пропонуванням послуг інформаційного суспільства
    безпосередньо дитині.

Якщо суб’єкт даних направляє компанії – контролеру запит на видалення персональних даних, опрацювання такого запиту повинно бути здійснене не пізніше строків, передбачених статтею 12 GDPR, при цьому, компанія – контролер не має права стягувати будь-які кошти із суб’єкта даних за подання відповідного запиту або за його опрацювання.

У тому випадку, коли компанія – контролер оприлюднила персональні дані та є зобов’язаною, відповідно до вимог GDPR, видалити персональні дані, така компанія, з урахуванням наявних технологій та витратна їхню реалізацію, повинна вжити відповідних заходів, у тому числі, технічних заходів, для інформування інших компаній – контролерів, які здійснюють обробку персональні даних суб’єкта даних, про те, що суб’єкт даних направив запит на видалення такими контролерами будь-яких посилань на його персональні дані, а також на їхні копії чи відтворення.

Коли право на видалення не застосовується

Компанія – контролер має право не видаляти персональні дані, у відповідності із статтею 17 GDPR, у тих випадках, коли обробка персональних даних необхідна:

  • для реалізації права на свободу вияву поглядів та свободу інформації;
  • для дотримання встановленого законом зобов’язання, що вимагає обробку персональних даних згідно із законодавством Європейського Союзу або держави-члена ЄС, яке поширюється на компанію – контролера, або для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на компанію – контролера;
  • на підставах суспільного інтересу в сфері охорони суспільного здоров’я згідно із
    статтею 9 GDPR;
  • для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження
    або статистичних цілей, відповідно до статті 89 GDPR;
  • для формування, здійснення або захисту правових претензій.

Швидкі поради щодо підготовки компанії до реалізації права на забуття

В межах компанії необхідно організувати спільну роботу Data Protection Officer (за наявності), відділу безпеки, персоналом та відповідальним за дотримання GDPR в компанії, щодо наступного:

  • Визначення потоків персональних даних та життєвих циклів всіх персональних даних, які надходять до компанії (тобто, персональні дані клієнтів, представників замовників та партнерів, кандидатів на роботу і т.д.)
  • Ефективної реалізації програми приватності в межах діяльності компанії;
  • Створення плану дій для кожного відділу, коли персональні дані перестануть бути корисними або суб’єкт даних подає запит на видалення даних;
  • Ведення постійної інвентаризації персональних даних, щоб компанія могла швидко визначити, де зберігаються певні дані;
  • Проведення регулярних аудитів щодо дотримання GDPR compliance;

Усвідомлюючи, які саме персональні дані ви збираєте, де вони зберігаються, як обробляються та який протокол використовується для їх видалення, ваша компанія може пройти довгий шлях уникаючи фінансових санкцій та невдач, пов’язаних із застосування норм європейського законодавства в сфері безпеки персональних даних.