Правото „да бъдеш забравен” или възможност за изтриване са уредени в Общия регламент за защита на данните или GDPR. Съгласно пар. 1 на чл. 17 от регламента, физическото лице може да поиска, а администраторът е длъжен да изтрие конкретните негови лични данни. Администраторът следва да отговори на това искане без ненужно забавяне и най-късно в рамките на един месец, както и да посочи причините, ако не възнамерява да се съобрази с тези искането.
На какви основания може лицето да поиска изтриването?
Възможност за изтриване би могла да бъде осъществена единствено при наличието на следните основания:
- личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- лицето оттегля своето съгласие, върху което се основава обработването на данните;
лицето възразява срещу обработването и няма преимуществено законово основание за продължаване на обработването; - личните данни са били обработвани незаконосъобразно;
- личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;
- личните данни са били събрани във връзка с предлагането на услуги на информационното общество на дете.
Кога администраторът може да откаже?
Регламентът предвижда ситуации, в които администраторът има възможност да откаже да изтрие данните, а именно когато обработването на конкретните данни е с цел:
- да упражнява правото на свобода на изразяване и информация;
- да изпълнява правно задължение или да изпълнява задача от обществен интерес или упражняване на публична власт;
- за целите на общественото здраве;
- архивиране за цели в обществен интерес, научноизследователски исторически изследвания или статистически цели; или
- установяване, упражняване или защитата на правни претенции.
„Правото да бъдеш забравен” не е абсолютно право. Всеки субект на данни може да се възползва от това си право единствено при наличие на конкретно основание.
Два примера за основателен отказ от правото „да бъдеш забравен” или изтриване
Пример 1: Бивш служител се обръща към работодател за изтриване на всички лични данни, които работодателят има за него. Работодателят може да откаже да изтрие всички данни веднага, тъй като съгласно Закона за счетоводството ведомости за заплати се съхраняват 50 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят. Все пак работодателят трябва да прецени дали някои от данните за бившия служител могат да бъдат изтрити на този етап, поради причината, че за тях няма изискване да се пазят за толкова дълъг срок.
Пример 2: Физическо лице се обръща за изтриване на всички данни към компания, от която е получило стока или услуга, за което му е издадена фактура. Кампанията може да откаже да изтрие всички данни веднага, тъй като съгласно Закона за счетоводството счетоводни регистри и финансови отчети, включително документи за данъчен контрол, каквито са фактурите, одит и последващи финансови инспекции се съхраняват 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят. Компанията трябва да прецени дали няма лични данни на лицето, извън необходимите за данъчен контрол, които следва да бъдат изтрити без нужното забавяне до един месец.