Svi dobro znamo da nam GDPR u svom članku 17. omogućava da zatražimo od bilo kojeg voditelja obrade za kojeg mislimo da ima naše osobne podatke, da ih izbriše.
Naravno, pravo na brisanje nije apsolutno i postoji niz slučajeva kada brisanje jednostavno nije moguće, pogotovo ako se radi o zakonito prikupljenim osobnim podacima, ako postoji obveza i rokovi njihovog obveznog zadržavanja, ako je još uvijek prisutna svrha zbog kojih se obrađuju ili to npr. traži neki propis ili ugovor koji smo sklopili ili snažan i opravdan legitimni interes.
Naš savjet je da uvijek prije podnošenja zahtjeva za brisanjem podnesemo zahtjev za pristupom svojim osobnim podacima, da vidimo ima li tu naših osobnih podataka koji se mogu i trebaju izbrisati.
No, brisanje osobnih podataka može naložiti i AZOP kao nadzorno tijelo.
Takva ovlast osigurana mu je člankom 58. stavkom 2. točkom (g) GDPR-a.
Europski odbor za zaštitu podataka (EDPB) objavio je 12. siječnja 2022. svoje mišljenje 39/2021 o tome može li spomenti članak 58. stavak 2. točka (g) GDPR-a predstavljati valjani pravni temelj za nadzorno tijelo da po službenoj dužnosti zatraži brisanje naših osobnih podataka koji se nalaze kod nekog voditelja ili izvršitelja obrade, u situaciji u kojoj mi kao ispitanici nismo to tražili.
Konkretno, EDPB je naglasio da u kontekstu mišljenja ne procjenjuje različite ovlasti navedene u članku 58. stavku 2. GDPR-a i njihovo međusobno djelovanje. Stoga je EDPB naveo da iz tog razloga mišljenje ne dovodi u pitanje druge ovlasti navedene u članku 58. stavku 2. GDPR-a i ne isključuje mogućnost da nadzorna tijela svoj nalog za brisanje temelje na drugoj pravnoj osnovi predviđenoj u članku 58. stavku 2. GDPR-a. Osim toga, EDPB je napomenuo da je, kako bi procijenio primjenjuje li se ovlast nadzornih tijela u skladu s člankom 58. stavkom 2. točkom (g) GDPR-a čak i u nedostatku zahtjeva za brisanje od ispitanika, EDPB najprije morao razmotriti nameće li se člankom 17. GDPR-a obveza nadzornom tijelu tek nakon zahtjeva ispitanika ili je ta obveza neovisna o tome.
Stoga je EDPB pojasnio da članak 17. GDPR-a predviđa dva zasebna predmeta za brisanje koji su međusobno neovisni:
1. Brisanje na zahtjev ispitanika, i
2. Brisanje kao samostalna obveza voditelja obrade.
Stoga je EDPB zaključio da je članak 58. stavak 2. točka (g) GDPR-a valjana pravna osnova da nadzorno tijelo po službenoj dužnosti naloži brisanje nezakonito obrađenih osobnih podataka u situaciji u kojoj ispitanik nije podnio takav zahtjev.
https://edpb.europa.eu/system/files/2022-01/edpb_opinion_202139_article_582g_gdpr_en.pdf
Photo by Nataliya Vaitkevich from Pexels