Það skiptir máli að upplýsingar sem eru óþarfar, ólögmætar eða á samfélagsmiðlum sem hinn skráði einstaklingur vill ekki nota lengur, geti horfið. Í 1. mgr. 20. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga er vísað í 17. gr. almennu persónuverndarreglugerðarinnar (GDPR) þar sem þessi réttindi eru tryggð. Skoðum þau aðeins nánar.

Hvenær er hægt að óska eftir eyðingu gagna?

Í stafliðum a-f í 1. mgr. 17. gr. GDPR eru talin upp þau tilvik þar sem hægt er að óska eyðingar, sem einstaklingur.

Í a-lið er talað um að ef upplýsingarnar eru ekki lengur nauðsynlegar til að sinna þeim tilgangi sem upphaflega lá að baki söfnuninni.

Dæmi: Ef þú sækir um vinnu, ráðningunni lýkur án þess að þú sért ráðin þá getur þú óskað eftir því að fyrirtækið eyði upplýsingum um þig.

Í b-lið er talað um að ef einstaklingur veitti samþykki fyrir vinnslu persónuupplýsinga um sig og vinnslan grundvallast á því samþykki þá getur viðkomandi einstaklingur afturkallað samþykki sitt hvenær sem er og eftir afturköllunina getur viðkomandi óskað eyðingar gagna.

Dæmi: Ef einstaklingur veitir samþykki fyrir myndatöku og myndbirtingu, af sér eða barni sínu t.d. þá getur viðkomandi afturkallað það samþykki og óskað eyðingar.

Í c-lið er fjallað um rétt hins skráða til að óska eyðingar ef hann hefur andmælt vinnslunni og vinnslan hefur ekki staðist skoðun.

Dæmi: Ef einhver vinnur persónuupplýsingar um þig, þú andmælir því og viðkomandi getur ekki fært haldbær rök fyrir vinnslunni þá getur þú óskað eyðingar gagnanna.

Í d-lið er talað um að ef vinnsla er ólögmæt þá er rétt að eyða upplýsingum, óski einstaklingur eftir því.

Dæmi: Ef fyrirtæki/stofnanir komast yfir heilsufarsupplýsingar og nota án þess að hafa heimild þá er vinnslan ólögmæt.

Í e-lið segir að eyða þurfi gögnum ef lagaskylda um slíkt er til staðar.

Í f-lið er að lokum nefnt að ef upplýsingum var safnað í tengslum við boð um þjónustu í upplýsingasamfélaginu þá getur hinn skráði einstaklingur óskað eftir eyðingu upplýsinganna.

Dæmi: Ég skrái mig á samfélagsmiðil, nota í smástund og vil svo hætta að nota þann tiltekna miðil. Þá er mér frjálst að eyða gögnum og miðlinum skylt að verða við því.

Hafi ábyrgðaraðili birt opinberlega með einum eða öðrum hætti persónuupplýsingar hins skráða og eitthvað af ofangreindum atriðum á við, þ.e. hinn skráði heldur fram réttmætri kröfu um eyðingu gagna þá skal ábyrgðaraðili afmá upplýsingarnar og gera eðlilegar tæknilegar ráðstafanir til að upplýsa ábyrgðaraðila sem vinna upplýsingar að tenglar, afrit eða eftirmyndir séu afmáðar hjá þeim. Kveðið er á um þetta í 2. mgr. 17. gr. GDPR.

Undantekningar

Verandi lögfræði í grunninn er ekki hægt annað en að eiga nokkrar undantekningar frá 1. og 2. mgr. 17. gr. í pokahorninu. Þær eru í stuttu máli að ef vinnslan er:

til að ábyrgðaraðili geti neytt réttar til tjáningar- og upplýsingafrelsis,

til að ábyrgðaraðili geti sinnt sinni vinnu sem honum ber lagaskylda að gera. T.d. starfsemi grunnskóla,

ef almannahagsmunir eru í húfi á sviði lýðheilsu,

vegna skjalavistunar í þágu almannahagsmuna, vísindarannsókna, sagnfræðilegs og/eða tölfræðilegs tilgangs og, 

til að hægt sé að halda uppi réttarkröfu, þú getur sumsé ekki beitt fyrir þig persónuverndarlögum og meinað einhverjum að höfða mál gegn þér.

Að lokum

Rétturinn til að gleymast er ekki eins fortakslaus og heiti hans kann að gefa til kynna, enda lítið spennandi að tala um „rétt til að gleymast að því gefnu að eitthvað skilyrða a-f – liða 1. mgr. 17. gr. GDPR eigi við“ en það væri sennilega réttara heiti á þessum réttindum.