Nemčija: hramba dokumentacije o izbrisu
Bavarski nadzorni organ (BayLDA) na svoji spletni strani obvešča upravljavce o tem, kako obravnavati zahteve za izbris posameznikov, na katere se nanašajo osebni podatki
Poleg očitnih navedb, ki citirajo 17 (2) člena GDPR nadzorni organ opozarja, da je treba osebne podatke izbrisati brez nepotrebnega odlašanja, če ne obstaja nobena druga pravna podlaga za nadaljnjo hrambo, tudi če posameznik, na katerega se nanašajo osebni podatki, tega izrecno ne zahteva. Zanimivi dodatki se nanašajo na izvzetje izbrisa in vprašanje, ali se osebni podatki lahko hranijo za dokazovanje skladnosti z GDPR.
Nadzorni organ opozarja na najvidnejšo izjemo od obveznosti izbrisa podatkov. Podatki se lahko hranijo v obsegu, v katerem je shranjevanje potrebno za izpolnjevanje pravne obveznosti, na primer v okviru obveznosti hrambe podatkov, kot so tiste, ki izhajajo iz davčnega ali gospodarskega prava. Da bi dokazali izpolnitev zahteve, bavarski nadzorni organ predlaga hrambo dokumentacije o izvedenih izbrisih podatkov.
Ob upoštevanju splošnega zastaralnega roka za morebitne poznejše pravne spore se lahko podatki hranijo do tri leta (ustrezna pravna podlaga je zakoniti interes, člen 6 (1) f GDPR). Iz tega pogleda je mogoče sklepati, da nadzorni organ verjetno domneva, da se lahko tudi podatki, ki bi jih dejansko morali izbrisati, še vedno hranijo 3 leta, da se lahko dokaže, da so bili ti podatki izbrisani (ali bolje: morali bi biti izbrisani). Dejansko to seveda pomeni, da vsi osebni podatki niso bili izbrisani. Torej izbris podatkov se izvede, lahko pa na drugem mestu, ločeno shranimo na primer zahtevek in naš odgovor posamezniku, ko smo izbris izvedli.
Če se presoja organa ne nanaša na osebne podatke (ki bi jih dejansko bilo treba izbrisati) in njihovo hrambo, sklicevanje na 2. čl. 6 (1) f GDPR ne bi bilo potrebno.
Dostop do poročila v nemškem jeziku tukaj
Naslovna fotografija: RawPixel
