Yleinen tietosuoja-asetus tulee voimaan vain muutaman päivän kuluttua, ja se antaa EU:n kansalaisille paljon enemmän valtaa siihen, miten heidän tietojaan säilytetään ja käsitellään.
Yleinen tietosuoja-asetus muuttaa merkittävästi rekisteröidyn oikeuksia, ja yleisen tietosuoja-asetuksen 17 artiklan mukaan yksilöillä on oikeus saada henkilötietonsa poistetuksi, mikä tunnetaan myös nimellä "oikeus tulla unohdetuksi".
Tämän lausekkeen nojalla yksityishenkilöt voivat pyytää, että yrityksen heistä pitämät tiedot poistetaan pysyvästi, jos yrityksellä ei ole perusteltua syytä jatkaa tietojen käsittelyä.
Organisaatioiden on vastattava pyyntöön kuukauden kuluessa sen jättämisestä.
Oikeus tulla unohdetuksi koskee seuraavia tapauksia:
- Henkilötietoja ei enää tarvita siihen tarkoitukseen, jota varten ne alun perin kerättiin.
- Henkilö peruuttaa nimenomaisesti suostumuksensa käsittelyyn eikä tietojen käsittelylle ole muuta oikeusperustaa.
- Henkilö käyttää oikeuttaan vastustaa tietojenkäsittelyä.
- Henkilötietoja on käsitelty lainvastaisesti
- Tiedot on poistettava lakisääteisten velvoitteiden noudattamiseksi.
- Henkilö oli lapsi tiedonkeruuhetkellä.
On kuitenkin olemassa joitakin poikkeuksia, joissa tietoja ei välttämättä tarvitse poistaa, jos jokin seuraavista seikoista täyttyy:
- Oikeus sananvapauteen ja ilmaisunvapauteen
- Tarve noudattaa oikeudellista velvoitetta
- Yleiseen etuun liittyvät syyt tai julkisen vallan käyttäminen.
- Historialliset, tieteelliset tutkimustarkoitukset tai yleisen edun mukaiset arkistointitarkoitukset.
- Jos tiedot tukevat oikeudellisia vaatimuksia
- Jos käsittely on tarpeen kansanterveydellisistä syistä
Kun EU:n kansalainen pyytää oikeutta tulla unohdetuksi, rekisterinpitäjän on poistettava kaikki henkilötiedot, jotka sillä on hallussaan kyseisestä henkilöstä. Tämä ei kuitenkaan ole suinkaan yksinkertainen prosessi. Yksilön tiedot saattavat olla hajautettu useille eri osastoille organisaatiossa, ja näiden tietojen varmuuskopio saattaa sijaita kokonaan toisessa järjestelmässä.
Tietojen poistaminen voi olla vaikea ja aikaa vievä prosessi, jos organisaatioilla ei ole asianmukaisia järjestelmiä näiden tietojen tehokkaaseen paikantamiseen ja hallintaan.
Jotta yritykset voivat vastata näihin pyyntöihin tehokkaasti, niiden on suoritettava järjestelmiensä perusteellinen tarkastus varmistaakseen, että tiedot ovat helposti löydettävissä ja poistettavissa.
Organisaatioiden on määriteltävä, mitä tietoja niillä on, missä niitä säilytetään ja miten niitä käsitellään, jotta ne voivat noudattaa GDPR:n vaatimuksia. Yhtä tärkeää on hävittää vanhentuneet ja tarpeettomat tiedot ja samalla suojata kriittiset tiedot, joita edelleen tarvitaan.
Oikeus tulla unohdetuksi on monimutkainen, ja siihen liittyy paljon poikkeuksia ja rajoituksia. Jos yrityksillä on kuitenkin käytössä oikeat prosessit, ne pystyvät noudattamaan lainsäädäntöä ja varmistamaan, että ne voivat tehokkaasti käyttää yksilön oikeutta tulla unohdetuksi.
Jos haluat lisätietoja siitä, miten organisaatiosi voi parantaa lähestymistapaansa GDPR-vaatimustenmukaisuuteen, klikkaa tästä, niin saat tietää, miten MetaCompliance voi auttaa.
VASTUUVAPAUTUS: Tämän blogin sisältö ja mielipiteet on tarkoitettu vain tiedoksi. Niitä ei ole tarkoitettu oikeudelliseksi tai muuksi ammatilliseksi neuvonnaksi, eikä niihin pidä luottaa eikä niitä pidä käsitellä yksittäisiin olosuhteisiin, tietosuojalakiin tai muuhun nykyiseen tai tulevaan lainsäädäntöön liittyvien erityisneuvojen korvikkeena. MetaCompliance ei ota vastuuta mistään virheistä, laiminlyönneistä tai harhaanjohtavista lausunnoista tai mistään tappioista, jotka voivat aiheutua tämän blogin sisältämän aineiston perusteella.