GDPR træder i kraft om få dage og giver EU-borgerne meget mere kontrol over, hvordan deres data gemmes og behandles.
GDPR vil ændre den registreredes rettigheder dramatisk, og i henhold til artikel 17 i GDPR har enkeltpersoner ret til at få deres personoplysninger slettet, også kendt som "retten til at blive glemt".
Denne klausul giver enkeltpersoner mulighed for at anmode om, at alle registre, som en virksomhed har om dem, slettes permanent, hvis der ikke er nogen legitim grund til, at virksomheden fortsat skal behandle disse oplysninger.
Organisationerne skal reagere på anmodningen senest en måned efter, at den er indgivet.
Retten til at blive glemt gælder, når:
- Personoplysningerne er ikke længere nødvendige til det formål, som de oprindeligt blev indsamlet til
- Den pågældende person trækker udtrykkeligt sit samtykke til behandlingen tilbage, og der er ikke noget andet retsgrundlag for at behandle disse oplysninger
- Den enkelte bruger sin ret til at gøre indsigelse mod databehandlingen
- Personoplysninger er blevet behandlet ulovligt
- Oplysningerne skal slettes for at overholde retlige forpligtelser
- Personen var et barn på tidspunktet for dataindsamlingen
Der er dog en række undtagelser, hvor det ikke er nødvendigt at slette oplysninger, hvis en af følgende betingelser er opfyldt:
- Retten til frihed og ytringsfrihed
- Behovet for at opfylde en retlig forpligtelse
- Af hensyn til almene interesser eller i forbindelse med udøvelsen af offentlig myndighed
- Historiske, videnskabelige undersøgelser eller arkivformål af offentlig interesse
- Hvis dataene understøtter retlige krav
- Hvis behandlingen er nødvendig af hensyn til folkesundheden
Når en EU-borger anmoder om retten til at blive glemt, skal en dataansvarlig slette alle de personoplysninger, som den har om den pågældende person. Dette er dog på ingen måde en ukompliceret proces. En persons oplysninger kan være spredt over flere forskellige afdelinger i en organisation, og sikkerhedskopien af disse oplysninger kan være placeret på et helt andet system.
Sletning af data kan være en vanskelig og tidskrævende proces, hvis organisationer ikke har de rette systemer til effektivt at finde og administrere disse oplysninger.
For at imødekomme disse anmodninger effektivt skal virksomhederne gennemføre en grundig revision af deres systemer for at sikre, at data nemt kan findes og slettes.
Organisationer skal fastlægge, hvilke data de har, hvor de er gemt, og hvordan de behandles for at overholde GDPR's krav. Det vil være lige så vigtigt at bortskaffe forældede og unødvendige data og samtidig beskytte kritiske oplysninger, som stadig er nødvendige.
Retten til at blive glemt er kompleks og har en lang række undtagelser og begrænsninger. Men hvis virksomhederne har de rigtige processer på plads, vil de være i stand til at overholde lovgivningen og sikre, at de effektivt kan udøve en persons ret til at blive glemt.
Hvis du vil have flere oplysninger om, hvordan din organisation kan forbedre sin tilgang til GDPR-overholdelse, kan du klikke her for at finde ud af, hvordan MetaCompliance kan hjælpe dig.
DISCLAIMER: Indholdet og udtalelserne i denne blog er kun til oplysningsformål. De er ikke ment som juridisk eller anden professionel rådgivning og bør ikke anvendes eller behandles som erstatning for specifik rådgivning, der er relevant for særlige omstændigheder, databeskyttelsesloven eller anden nuværende eller fremtidig lovgivning. MetaCompliance påtager sig intet ansvar for eventuelle fejl, udeladelser eller misvisende udtalelser eller for tab, der måtte opstå som følge af tillid til materialet i denne blog.
