Persondataforordningen har forstærket forbrugernes kontrol over egne persondata, og Artikel 17 – bedre kendt som ’retten til sletning’ eller ’retten til at blive glemt’ – spiller en central rolle.
Men hvad betyder retten til sletning for din organisation, og hvordan håndterer I anmodninger om sletning af persondata på en måde, der både er effektiv og i overensstemmelse med kravene i GDPR?
Hvad siger Artikel 17?
Artikel 17 i GDPR giver den registrerede retten til at få sine persondata slettet af en dataansvarlig under visse omstændigheder. Nemlig hvis én af de betingelser, der er nævnt i databeskyttelsesforordningen, er opfyldt.
Ifølge Artikel 17 har den registrerede ret til at få personoplysninger slettet uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:
- Personoplysningerne er ikke længere nødvendige for det formål, de oprindeligt blev indsamlet til.
- Den registrerede trækker sit samtykke til behandling af data tilbage, og der findes ikke andre juridiske grunde til fortsat at behandle dem.
- Den registrerede gør indsigelse mod behandling af personoplysninger, og der findes ingen legitime grunde til at fortsætte behandlingen, eller vedkommende modsætter sig behandling af personoplysninger til direkte markedsføring.
- Personoplysningerne er blevet behandlet på en måde, der ikke overholder loven.
- Personoplysningerne skal slettes for at opfylde en juridisk forpligtelse i henhold til EU-lovgivning eller national lovgivning, der påhviler den dataansvarlige.
- Personoplysningerne blev indsamlet i forbindelse med udbud af informationssamfundstjenester direkte rettet mod børn.
Hvis den dataansvarlige er forpligtet til at slette en brugers oplysninger, skal denne også informere eventuelle tredjeparter, som oplysningerne er videregivet til.
LÆS OGSÅ: Persondataforordningen: Pligter og rettigheder
Anmodning om at ’blive glemt’
Når en person gør brug af sin ret til at blive glemt, kan motivationen bag variere betydeligt. Det kan handle om at have kontrol over sine personlige data, eller det kan være et udtryk for bekymringer for privatlivets fred. Det kan også være et ønske om forhindre, at forældede eller irrelevante oplysninger fortsætter med at cirkulere. Organisationen skal tage en anmodning om at blive glemt seriøst og behandle den efter forskrifterne.
Ifølge GDPR er organisationen forpligtet til at handle uden unødig forsinkelse på en anmodning om at blive glemt. Svar skal gives inden for en måned fra modtagelsen af anmodningen, medmindre der er tale om en særligt kompleks sag – i så fald kan fristen forlænges.
For at overholde Artikel 17, skal organisationen have procedurer på plads for effektivt at identificere og behandle anmodninger om sletninger – herunder:
- en lettilgængelig metode for personer til at indgive deres sletningsanmodning
- retningslinjer for at identificere personoplysninger relateret til den registrerede i organisationens systemer.
Undtagelser og overholdelse af reglerne
Når organisationen modtager en anmodning om sletning af personoplysninger i henhold til Artikel 17, bør det første skridt være at bekræfte identiteten af den person, der har fremsat anmodningen – fx gennem e-mailbekræftelse eller anden verifikation. Det gøres for at forhindre uautoriseret adgang til persondata.
Dernæst er det vigtigt at vurdere gyldigheden af anmodningen om sletning, herunder om nogen af undtagelserne i GDPR gælder – nemlig hvis:
- sletningen strider mod ytrings- eller informationsfriheden
- personoplysningerne behandles for at opfylde en retlig forpligtelse
- behandlingen tjener offentlighedens interesse
- behandlingen er en opgave under offentlig myndighedsudøvelse
- oplysningerne er nødvendige for, at retskrav kan fastlægges, gøres gældende eller forsvares.
Artikel 17 er et vigtigt skridt mod styrket databeskyttelse og forbrugerrettigheder, og for organisationer handler det ikke kun om juridisk overholdelse. Det er også et spørgsmål om at opbygge tillid ved at vise, at der er faste og klare procedurer i forbindelse med GDPR.
