Slovenija: Zahteva za izbris

Slovenija: Zahteva za izbris
14. 11. 2023 objavil/a Info Hiša
17. člen GDPR
pravica do pozabe
Slovenija
spletni mediji
zahteva za izbris

Po zahtevi za izbris upravljavec ni sprejel razumnih ukrepov, da bi obvestil spletne medije, da izbrišejo osebne podatke prosilca

Odločitev je bila objavljena 20.7.2023

Slovenski nadzorni organ je ugotovil kršitev pravice do pozabe po drugem odstavku 17. člena GDPR.

Dne 3. aprila 2023 je pritožnica od lokalne policijske postaje (upravljavec) zahtevala, da s spletne strani izbriše podatke o njenem izginotju, pa tudi s spletnih strani medijev, ki so novico pobrali s spletne strani policije. Upravljavec je v odgovoru z dne 6. 4. 2023 pojasnil, da njeni zahtevi ne more ugoditi, ker ni odgovoren za vsebino in njen izbris z drugih spletnih portalov.

Prijaviteljica je zoper upravljavca vložila pritožbo pri nadzornem organu, ta pa je nato začel postopek z dvema klicema pri upravljavcu.

Upravljavec je nadzornemu organu potrdil, da je podatke prijavitelja odstranil s svoje spletne strani, saj njihova objava ni bila več potrebna za namen iskanja te osebe. Nadalje je pojasnil, da je zagotovil skladnost po začetku postopka tudi s tem, da je vsem medijem, ki so še vedno imeli na spletu objavljeno novico o izginotju pritožnice, sporočilo, da je pritožnica zahtevala izbris svojih osebnih podatkov.

Nadzorni organ je menil, da je upravljavec kršil drugi odstavek 17. člena GDPR, ki ureja pravico do pozabe. V skladu s to določbo bi moral upravljavec ob prejemu zahteve za izbris sprejeti razumne ukrepe, da upravljavce, ki so jim bili posredovani osebni podatki prosilke, obvesti, da je prosilka zahtevala izbris svojih osebnih podatkov. V tem primeru je bilo jasno, da je pritožnica želela, da se njeni podatki čim prej odstranijo z interneta. Upravljavec bi moral ravnati v skladu s členom 17(2) GDPR tako, da bi vsakemu mediju, ki je objavil podatke o pogrešani osebi, poslal obvestilo, da je prijaviteljica zahtevala izbris podatkov.

Zato je nadzorni organ zaključil, da je upravljavec v času predložitve obvestila 6. aprila 2023 kršil člen 17(2) GDPR. Upravljavec pa je v postopku pred nadzornim organom izkazal svojo zavezanost k zagotavljanju skladnosti z GDPR, sledil ugotovitvam nadzornega organa in odpravil kršitev 2. odstavka 17. člena GDPR. Zato se je nadzorni organ odločil, da zoper upravljavca ne bo uvedel dodatnih ukrepov.

Odločba 07141-10/2023 je dostopna tukaj.

Vir: GDPRHub