avocatnet.ro 
În ceea ce privește sancțiunea menționată mai sus, ANSPDCP a amendat o instituție financiară nebancară, Viva Credit IFN, pentru că, după ce o persoană a solicitat ștergerea datelor acesteia deținute de către operatorul de date, cel din urmă nu a soluționat cererea de șterge a datelor, însă nejustificat.
Mai mult, compania sancționată nici nu a răspuns în timpul legal prevăzut de GDPR cu privire la acțiunile luate ca urmare a cererii (termenul este de o lună, însă, pentru motive justificate, poate fi prelungit până la trei luni, iar acest lucru trebuie să îi fie motivat și comunicat petentului).
În consecință, pentru nerespectarea acestor obligații, firma a fost sancționată cu o amendă de 2.000 de euro. În plus, ANSPDCP a aplicat și o măsură corectivă, prin care a obligat compania sancționată să îi răspundă pententului la cerere, în cel mult cinci zile de la comunicarea procesului-verbal de amendă.
Când (nu) poate fi obținută ștergerea datelor
Cum spuneam și mai sus, GDPR garantează dreptul persoanelor de a solicita ștergerea datelor lor, atunci când acestea sunt deținute de către o companie. În asemenea situații, companiile cărora li se fac asemenea solicitări trebuie să verifice dacă au un temei pentru păstrarea datelor și dacă, ulterior solicitării, acesta subzistă.
În esență, cazurile când este justificată ștergerea datelor sunt:
- menținerea datelor nu mai e necesară, prin raportare la scopul inițial pentru care au fost prelucrate;
- solicitantul își dăduse, inițial, consimțământul la prelucrarea de date și, prin cererea de ștergere a datelor, se consideră că acel consimțământ a fost retras și nu există niciun alt temei pentru păstrarea datelor;
- solicitantul se opune prelucrării, iar operatorul nu are motive legitime mai puternice prin care să justifice menținerea datelor, contrar intereselor persoanei vizate (dacă e vorba de date deținute în scop de marketing, întotdeauna va putea fi exercitat dreptul de opoziție);
- prelucrarea datelor s-a făcut ilegal (de exemplu, nu a existat temei de prelucrare sau temeiul nu a fost valid în situația dată);
- legislația (națională sau a Uniunii Europene) obligă la ștergerea datelor respective;
- datele au fost colectate în contextul furnizării unor servicii ale societății informaționale.
Bineînțeles, există și cazuri când ștergerea datelor nu este justificată, deși există o solicitare în acest sens. De exemplu, exercitarea dreptului la liberă exprimare și la informație sau îndeplinirea unei obligații legale.
În privința obligației legale, de pildă, legislația privind prevenirea spălării banilor a fost modificată recent, iar în curând va exista un registru cu datele conturilor bancare ale tuturor persoanelor fizice. Băncile vor fi obligate să mențină aceste date timp de 10 ani de la momentul încetării relației cu clientul lor. În asemenea situații, nu va fi posibilă ștergerea datelor, chiar dacă există o solicitare din partea persoanei vizate.
Bineînțeles, și în astfel de situații companiile și entitățile vizate de GDPR (toate care prelucrează date) vor trebui să explice motivul pentru care s-a refuzat solicitarea de ștergere a datelor (într-o lună și, excepțional, în cel mult trei luni).
