Pravica posameznika do izbrisa njegovih osebnih podatkov

Print Friendly, PDF & Email

Pravica do izbrisa ali pravica do pozabe daje vsakemu posamezniku možnost, da od upravljavca osebnih podatkov[1] zahteva, da ta brez nepotrebnega odlašanja izbriše vse osebne podatke v zvezi z njim.[2] Gre za eno izmed pravic, ki jih posamezniku zagotavlja Splošna uredba o varstvu podatkov (v nadaljevanju: GDPR) in je podrobneje opredeljena v 17. členu GDPR.[3] Zagotavljanje pravic posameznikom predstavlja pomemben del GDRP (členi 15 do 21), na osnovi katerega morajo praktično vse organizacije, ki obdelujejo osebne podatke posameznikov, le-tem omogočiti, da sami določajo, na kakšen način in v kakšnem obsegu se obdelujejo njihovi osebni podatki. Posameznik v praksi najpogosteje nastopa v vlogi potrošnika, torej fizične osebe, ki pa je v razmerju do upravljavcev osebnih podatkov (ponudnikov blaga in storitev) bistveno šibkejša stranka, zaradi česar je nujno, da se mu omogoči nadzor nad obdelavo njegovih osebnih podatkov, ter da se na drugi strani tudi določijo sankcije za tiste upravljavce, ki zahtev posameznikov ne bodo uresničevali.[4]

Institut pravice do izbrisa osebnih podatkov

V prvi vrsti se je potrebno zavedati, da pravice do izbrisa nikakor ne moremo šteti za absolutno pravico posameznika, saj GDPR natančno določa, v katerih primerih je upravljavec zavezan takšne podatke tudi dejansko izbrisati. To je dolžan storiti v naslednjih primerih:[5]

  • ko osebni podatki niso več potrebni v namene, za katere so bili zbrani;
  • posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, za obdelavo pa ni nobene druge pravne podlage (npr. zakona ali pogodbe);
  • posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi teh podatkov, razen če upravljavec podatkov dokaže, da njegovi interesi za obdelavo teh podatkov prevladajo nad interesi posameznika;
  • posameznik, katerega osebni podatki se obdelujejo za namene neposrednega trženja, ugovarja obdelavi njegovih osebnih podatkov v te namene;
  • osebni podatki so bili obdelani nezakonito;
  • osebne podatke je treba izbrisati za izpolnitev pravne obveznosti;
  • ko so bili osebni podatki zbrani v zvezi s ponudbo storitev informacijske družbe v povezavi s privolitvijo otroka za tako storitev.

Če je izpolnjen eden izmed naštetih primerov, je upravljavec osebne podatke na zahtevo posameznika dolžan izbrisati (to velja tudi za vse objave teh podatkov na spletnih straneh, družbenih omrežjih, medijih, ipd.). Prav tako je dolžan druge upravljavce (druga podjetja in organizacije) obvestiti o posameznikovi zahtevi za izbris, ti pa so nato dolžni izbrisati vse povezave do teh osebnih podatkov in morebitne kopije. Vse našteto velja seveda pod pogojem, da obstoječa tehnologija izbris osebnih podatkov sploh omogoča. Pravica do izbrisa se pogosto uporablja tudi na spletu, kjer se navaja tudi kot pravica do pozabe.[6]

Izjeme od pravice do izbrisa osebnih podatkov

Kot že rečeno, pa pravica do izbrisa ni absolutna, kar pomeni, da obstajajo izjeme, ko posameznik ne more zahtevati izbrisa osebnih podatkov, in sicer takrat, ko:

  • se z objavo uresničuje pravica do svobode izražanja in obveščanja;
  • je obdelava potrebna za izpolnitev pravne obveznosti, ki velja za upravljavca;
  • je obdelava potrebna iz razlogov javnega reda na področju javnega zdravja;
  • je obdelava potrebna v znanstvene, raziskovalne, statistične namene ali namene arhiviranja in bi uresničitev pravice do izbrisa resno ovirala uresničitev teh namenov;
  • se podatki obdelujejo za namene uveljavljanja, izvajanja ali obrambe pravnih zahtevkov (npr. v primeru morebitne tožbe).

Upravljavec bo pogosto primoran opraviti tehtanje pravic in interesov za izbris osebnih podatkov posameznika na eni, in interes za zavrnitev zahteve za izbris na drugi strani (npr. pri uresničevanju svobode izražanja). V primeru, ko se osebni podatki hranijo na osnovi pogodbe ali na podlagi zakona (ti dve podlagi sta v praksi tudi med najpogostejšimi), takšni osebni podatki niso predmet pravice do izbrisa, temveč se hranijo glede na roke hrambe, kot jih določa zakon oziroma potrebnost zaradi izvajanja pogodbe (npr. roki uveljavljanja reklamacij, roki morebitnih odškodninskih zahtevkov ipd.).[7]

Pravica do izbrisa v praksi

V praksi pogosto prihaja do situacije, ko upravljavci osebnih podatkov zavrnejo zahtevo za izbris osebnih podatkov, sklicujoč se na obrambo morebitnih pravnih zahtevkov oz. zahteve, ki izhajajo iz področne zakonodaje.

V kolikor bi posameznik na primer želel od gospodarske družbe (npr. telekomunikacijskega podjetja) doseči izbris osebnih podatkov, ki jih ta zakonito hrani o njem, bi bila njegova zahteva za izbris najverjetneje zavrnjena. V zvezi s hrambo računov 86. člen Zakona o davku na dodano vrednost[8] namreč določa, da mora davčni zavezanec zagotoviti hrambo računov, ki se nanašajo na dobave blaga ali storitev na ozemlju Slovenije, ter računov, ki jih prejme davčni zavezanec s sedežem na ozemlju Slovenije, deset let po poteku leta, na katero se računi nanašajo; če se računi nanašajo na nepremičnine pa celo dvajset let. Konkreten rok hrambe posameznih pogodb pa je, če specialni predpisi ne določajo drugače, odvisen od roka morebitnih postopkov uveljavljanja pravic v zvezi z navedenimi pogodbami.[9]

Sklep

Pravica do izbrisa osebnih podatkov je nedvomno institut, ki daje posameznikom več nadzora nad njihovimi osebnimi podatki, ter možnost, da sami odločajo o usodi le teh. Vendar pa je potrebno upoštevati, da bodo zahteve posameznikov za izbris v praksi velikokrat tudi zavrnjene, saj hrambo osebnih podatkov zelo pogosto zahteva že zakonodaja. Upravljavec bo pogosto primoran opraviti tehtanje pravic in interesov za izbris osebnih podatkov posameznika na eni, in interes za zavrnitev zahteve za izbris na drugi strani (npr. pri uresničevanju svobode izražanja).

Aljaž Lep, mag. prav.

[1] „upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Upravljavec v praksi tako običajno predstavlja gospodarsko družbo, javni zavod ipd.

[2] Markovič Zlatka, Varstvo osebni podatkov po Uredbi (GDPR) – Reforma varstva osebnih podatkov, Založba Reforma, Ljubljana, 2019, str. 130

[3] Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

[4] Markovič Zlatka, Varstvo osebni podatkov po Uredbi (GDPR) – Reforma varstva osebnih podatkov, Založba Reforma, Ljubljana, 2019, str. 126

[5] 1. odstavek 17. člena GDPR

[6] Povzeto po: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-ask-company-delete-my-personal-data_sl (19. 10. 2018).

[7] Informacijski pooblaščenec RS, Mnenje št. 0712-3/2018/1031 z dne 20. 07. 2018.

[8] Zakon o davku na dodano vrednost (Uradni list RS, št. 13/11 – uradno prečiščeno besedilo, 18/11, 78/11, 38/12, 83/12, 86/14, 90/15, 77/18, 59/19 in 72/19)

[9] Informacijski pooblaščenec RS, Mnenje št. 0712-1/2019/2146, z dne: 27.09.2019.