Dataskyddsförordningen träder i kraft om bara några dagar och ger EU-medborgarna mycket mer kontroll över hur deras uppgifter lagras och behandlas.
Dataskyddsförordningen kommer att förändra den registrerades rättigheter dramatiskt, och enligt artikel 17 i dataskyddsförordningen har enskilda personer rätt att få sina personuppgifter raderade, vilket också kallas "rätten att bli glömd".
Denna klausul gör det möjligt för enskilda personer att begära att alla uppgifter om dem som ett företag har om dem raderas permanent om det inte finns någon legitim anledning för företaget att fortsätta att behandla dessa uppgifter.
Organisationerna måste agera på begäran inom en månad efter det att den lämnats in.
Rätten att bli bortglömd gäller när:
- Personuppgifterna är inte längre nödvändiga för det syfte för vilket de ursprungligen samlades in.
- Personen drar uttryckligen tillbaka sitt samtycke till behandlingen och det finns ingen annan rättslig grund för att behandla denna information.
- Den enskilde använder sin rätt att invända mot behandlingen av uppgifter.
- Personuppgifter har behandlats på ett olagligt sätt.
- Uppgifterna måste raderas för att uppfylla rättsliga skyldigheter.
- Personen var ett barn när uppgifterna samlades in.
Det finns dock ett antal undantag där uppgifter kanske inte behöver raderas om något av följande gäller:
- Rätten till frihet och yttrandefrihet
- Behovet av att uppfylla en rättslig förpliktelse.
- Skäl av allmänt intresse eller vid utövandet av offentlig makt.
- Historiska, vetenskapliga undersökningar eller arkivändamål av allmänt intresse.
- Om uppgifterna stöder rättsliga påståenden
- Om behandlingen är nödvändig för folkhälsoändamål.
När en EU-medborgare begär rätten att bli bortglömd måste den registeransvarige radera alla personuppgifter som han eller hon har om personen i fråga. Detta är dock inte alls en enkel process. En individs information kan vara spridd över flera olika avdelningar inom en organisation och säkerhetskopiorna av dessa uppgifter kan finnas i ett helt annat system.
Att radera uppgifter kan vara en svår och tidskrävande process om organisationer inte har rätt system för att effektivt hitta och hantera informationen.
För att hantera dessa förfrågningar på ett effektivt sätt måste företagen göra en grundlig granskning av sina system för att se till att uppgifterna lätt kan hittas och raderas.
Organisationer måste fastställa vilka uppgifter de har, var de lagras och hur de behandlas för att uppfylla GDPR:s krav. Det kommer att vara lika viktigt att göra sig av med föråldrade och onödiga uppgifter samtidigt som man skyddar kritisk information som fortfarande behövs.
Rätten att bli bortglömd är komplex och har många undantag och begränsningar. Om företagen har rätt processer på plats kan de dock följa lagstiftningen och se till att de effektivt kan utöva en individs rätt att bli bortglömd.
Om du vill ha mer information om hur din organisation kan förbättra sin inställning till GDPR-efterlevnad, klicka här för att ta reda på hur MetaCompliance kan hjälpa dig.
ANSVAR: Innehållet och åsikterna i den här bloggen är endast för informationsändamål. De är inte avsedda att utgöra juridisk eller annan professionell rådgivning och bör inte förlitas på eller behandlas som en ersättning för specifik rådgivning som är relevant för särskilda omständigheter, dataskyddslagen eller annan nuvarande eller framtida lagstiftning. MetaCompliance tar inget ansvar för eventuella fel, utelämnanden eller vilseledande uttalanden, eller för eventuella förluster som kan uppstå till följd av att man förlitar sig på material som finns i denna blogg.