Cine şi în ce condiţii poate cere ştergerea datelor cu caracter personal

Regulamentul european pentru protecţia datelor cu caracter personal (GDPR), care intră în vigoare la data de 25 mai, conţine prevederi speciale privind „dreptul de a fi uitat”, adică modul în care orice persoană poate solicita autorităţii publice sau pur şi simplu unei firme private să şteargă din baza de date informaţiile care o privesc.

Articolul 17 din Regulamentul general privind protecţia datelor (GDPR) prevede, în mod explicit, situaţiile în care o persoană poate cere unei entităţi, fie ea publică sau privată, să i se şteargă din baza de date informaţiile cu caracter personal care o privesc.

Astfel, alin. (1) prevede că persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive: 

a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; 

b) persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), şi nu există niciun alt temei juridic pentru prelucrarea; 

c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2); 

d) datele cu caracter personal au fost prelucrate ilegal; 

e) datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa căruia se află operatorul; 

f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la articolul 8 alineatul (1). 

(2) În cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), să le şteargă, operatorul, ţinând seama de tehnologia disponibilă şi de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal. 

(3) Alineatele (1) şi (2a) nu se aplică în măsura în care prelucrarea este necesară: 

a) pentru exercitarea dreptului la liberă exprimare şi la informare; 

b) pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul; 

c) din motive de interes public în domeniul sănătăţii publice, în conformitate cu articolul 9 alineatul (2) literele (h) şi (i) şi cu articolul 9 alineatul (3); 

d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care dreptul menţionat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau 

e) pentru constatarea, exercitarea sau apărarea unui drept în instanţă.