Право на удаление или «право на забвение» согласно General Data Protection Regulation (GDPR)

Наряду с другими правами, которые предусмотрены в General Data Protection Regulation (GDPR), существует право на забвение, что является одним из основополагающих прав в сфере приватности, которые гарантируются европейским законом.

Основания для права на забвение

Само понятие права на забвение следует из дела Google Spain SL, Google Inc против Agencia Española de Protección de Datos, Mario Costeja González), которая имела место в 2014 году. По результатам решения суда по этому делу, любая поисковая система Интернета должна рассматривать запросы отдельных лиц по удалению ссылок на веб-страницы, имеющие свободный доступ, в результате поиска по их именем. Основания для удаления таких данных включают случаи, когда результаты поиска кажутся лицам, подающим запрос, неадекватными, неактуальными или уже не имеют значения в свете прошедшего времени.

Впервые право на забвение было кодифицировано и регламентировано GDPR, и это является переломным моментом для возможности реализации этого права в рамках законных требований, ведь раньше не было законодательно закрепленных требований по реализации такого права.

Названное выше право, в первую очередь, регулирует обязательства по стиранию данных компанией, которая их использует. Имеется в виду, что персональные данные должны быть немедленно удалены, если они, например, больше не нужны для их первоначальной цели обработки, или субъект данных отозвал свое согласие на обработку персональных данных, и нет никакой другой правовой основы для их дальнейшей обработки. Кроме того, персональные данные, естественно, следует удалять, если сама обработка в первую очередь противоречит требованиям законодательства.

Что такое право на удаление ( «право на забвение»)

Субъект данных должен иметь право на удаление своих персональных данных, которое должно реализовать компания, которая признана контроллером данных в контексте GDPR, без всякой безосновательной задержки. Также, компания — контроллер обязана удалить персональные данные без всякой необоснованной задержки в случае возникновения одной следующих оснований:

нет больше нужды в персональных данных, в частности для целей, для которых эти персональные данные собирались или иным образом оброблювалися;
субъект данных отзывает свое согласие на обработку персональных данных, на которой основывается обработка в соответствии с положениями статьи 6 и статьи 9 GDPR, и если нет другой законного основания для дальнейшей обработки данных;
субъект данных возражает против обработки персональных данных, если такие данные обрабатываются для целей (и) выполнения задания в общественных интересах или осуществление официальных полномочий, возложенных на компанию — контроллера; (ii) для целей реализации законных интересов компании — контроллера или третьей стороны, кроме случаев, когда над такими интересами преобладают интересы фундаментальных прав и свобод субъекта данных, требующих охраны персональных данных, особенно, если субъектом данных является ребенок, и нет никаких первоочередных законных оснований для дальнейшей обработки персональных данных, или субъект данных возражает против обработки, когда его персональные данные обрабатываются для целей прямого маркетинга;
персональные данные обрабатываются компанией — контроллером незаконно;
персональные данные необходимо удалить для соблюдения установленного законом обязательства,
закрепленного в законодательстве Европейского Союза или государства-члена ЕС, которое распространяется на компании — контроллера;
персональные данные собирались в связи с предложением услуг информационного общества
непосредственно ребенку.

Если субъект данных направляет компании — контроллеру запрос на удаление персональных данных, обработка такого запроса должно быть осуществлено не позднее сроков, предусмотренных статьей 12 GDPR, при этом, компания — контроллер не имеет права взимать любые средства из субъекта данных по представление соответствующего запроса или его обработки.

В том случае, когда компания — контроллер обнародовала персональные данные и является обязанным в соответствии с требованиями GDPR, удалить персональные данные, такая компания, с учетом имеющихся технологий и затратная их реализацию, должна принять соответствующие меры, в том числе, технических мероприятий, для информирования других компаний — контроллеров, осуществляющих обработку персональных данных субъекта данных, о том, что субъект данных направил запрос на удаление такими контроллерами любых ссылок на его персональные данные, а также на их копии или воспроизведения.

Когда право на удаление не применяется

Компания — контроллер имеет право не удалять персональные данные, в соответствии со статьей 17 GDPR, в тех случаях, когда обработка персональных данных необходима:

для реализации права на свободу выражения взглядов и свободу информации;
для соблюдения установленного законом обязательства, требует обработку персональных данных в соответствии с законодательством Европейского Союза или государства-члена ЕС, которое распространяется на компании — контроллера, или для выполнения задания в общественных интересах или осуществление официальных полномочий, возложенных на компанию — контроллера;
по основаниям общественного интереса в сфере охраны общественного здоровья по
статьей 9 GDPR;
для достижения целей общественных интересов, целей научного или исторического исследования
или статистических целей, в соответствии со статьей 89 GDPR;
для формирования, осуществления или защиты правовых претензий.

Быстрые советы по подготовке к реализации права на забвение

В рамках компании необходимо организовать совместную работу Data Protection Officer (при наличии), отдела безопасности, персоналом и ответственным за соблюдение GDPR в компании, относительно следующего:

Определение потоков персональных данных и жизненных циклов всех персональных данных, которые поступают в компанию (то есть, персональные данные клиентов, представителей заказчиков и партнеров, кандидатов на работу и т.д.)
Эффективной реализации программы приватности в рамках деятельности компании;
Создание плана действий для каждого отдела, когда персональные данные перестанут быть полезными или субъект данных подает запрос на удаление данных;
Ведение постоянной инвентаризации персональных данных, чтобы компания могла быстро определить, где хранятся определенные данные;
Проведение регулярных аудитов по соблюдению GDPR compliance;

Осознавая, какие именно персональные данные вы собираете, где они хранятся, как обрабатываются и протокол используется для их удаления, ваша компания может пройти долгий путь избегая финансовых санкций и неудач, связанных с применением норм европейского законодательства в сфере безопасности персональных данных.