GDPR 也称为删除权,赋予个人要求组织删除其个人数据的权利。但组织并不总是必须这样做。在这里,我们解释什么时候被遗忘权适用,什么时候不适用。
《通用数据保护条例》 ( GDPR ) 规定了必须如何收集、处理和删除个人数据。“被遗忘权”在2014 年欧盟法院的判决后受到广泛关注,为 GDPR 中包含的擦除权条款开创了先例。当然,考虑到相互竞争的利益和互联网的超连接性质,被遗忘的权利比个人简单地要求组织删除他们的个人数据要复杂得多。本文仔细研究了人们何时可以提出被遗忘权请求,它为欧盟居民增加的价值,以及组织如何创建被遗忘权表格以确保 GDPR 合规。
什么是被遗忘的权利?
被遗忘权出现在 Recitals 65 和 66 以及GDPR 第 17 条中。它规定,“数据主体应有权从控制者那里获得有关他或她的个人数据的删除,不得无故拖延,并且控制者有义务在不无故拖延的情况下删除个人数据”,如果若干条件之一适用。“无故拖延”被认为是一个月左右。您还必须采取合理的步骤来验证请求删除的人实际上是数据主体。
被遗忘权与第十五条中人们获取个人信息的权利相吻合。如果人们在不再同意处理、数据中存在重大错误或认为信息被不必要地存储时无法采取行动,那么控制个人数据的权利就毫无意义。在这些情况下,个人可以请求删除数据。但这不是绝对的权利。如果是这样,那些认为被遗忘的权利只不过是改写历史的批评者将是正确的。因此,GDPR 在数据擦除方面走了一条细线。
被遗忘权何时适用?
在第 17 条中,GDPR 概述了适用被遗忘权的具体情况。在以下情况下,个人有权删除其个人数据:
- 出于组织最初收集或处理个人数据的目的,不再需要个人数据。
- 一个组织依靠个人的同意作为处理数据的合法依据,而该个人撤回了他们的同意。
- 一个组织依靠合法利益作为处理个人数据的理由,个人反对这种处理,并且组织没有压倒一切的合法利益来继续处理。
- 一个组织正在出于直接营销目的处理个人数据,并且个人反对此处理。
- 组织非法处理个人的个人数据。
- 组织必须删除个人数据以遵守法律裁决或义务。
- 一个组织处理了儿童的个人数据以提供他们的信息社会服务。
但是,组织处理某人数据的权利可能会凌驾于他们被遗忘的权利。以下是 GDPR 中引用的胜过擦除权的原因:
- 这些数据被用于行使言论和信息自由权。
- 数据用于遵守法律裁决或义务。
- 这些数据被用于执行一项为公共利益或在行使组织的官方权力时执行的任务。
- 正在处理的数据对于公共卫生目的是必要的,并且符合公共利益。
- 正在处理的数据对于执行预防或职业医学是必要的。这仅适用于由负有专业保密法律义务的卫生专业人员处理数据的情况。
- 数据代表服务于公共利益、科学研究、历史研究或统计目的的重要信息,并且在删除数据可能会损害或阻止实现作为处理目标的成就的情况下。
- 数据被用于建立法律辩护或行使其他法律主张。
此外,如果组织可以证明该请求是没有根据或过度的,则该组织可以要求“合理费用”或拒绝删除个人数据的请求。
如您所见,有许多变量在起作用,每个请求都必须单独评估。再加上跟踪个人个人数据存储或处理的所有位置的技术负担,很容易看出为什么 GDPR 的新隐私权可能成为某些组织的重大合规负担。
被遗忘权请求模板
GDPR 没有指定有效的擦除请求需要什么。个人可以口头或书面提出删除请求。此请求也可以发送给您组织的任何成员,而不仅仅是指定的联系人。只要请求符合上述条件,它就有效,即使它没有提及“请求删除”、“被遗忘的权利”、第 17 条或 GDPR。
这会给组织带来挑战,因为任何员工都可能收到有效的口头请求。下面是一个样本“删除权”请求表,可以帮助您简化流程。请注意,这只是一个模板,可以根据您组织的需要进行修改。
参考
gdpr.eu
