Autoritatea de protecție a datelor poate cere, din oficiu, ștergerea datelor prelucrate. Entitățile care le prelucrează sunt obligate să le șteargă și dacă nu li se cere asta de persoanele vizate

Comitetul european pentru protecția datelor (CEPD - în engleză European Data Protection Board - EDPB) a fost întrebat de Autoritatea de Protecția Datelor din Ungaria dacă art. 58(2) lit.g) din GDPR îi dă dreptul acesteia să ceară, din oficiu, ștergerea datelor personale prelucrate nelegal de către o entitate, adică atunci când cei vizați de prelucrări nu au cerut asta în mod expres.

Regulamentul european îi obligă pe cei ce prelucrează date personale ca datele să fie păstrate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. 

Persoana ale cărei date au fost prelucrate are un așa-zis drept la uitare, adică dreptul de a cere ștergerea datelor prelucrate - dar în anumite condiții, prevăzute de GDPR. Una dintre premisele ștergerii acestor date, la cererea celui vizat, este prelucrarea ilegală de date. 

Cu toate că, susține Comitetul european, formularea din art. 17 al regulamentului - „dreptul la ștergerea datelor” (right of erasure) - ar putea conduce la concluzia că entitatea poate fi obligată să o facă doar dacă i se cere de către titularul dreptului acest lucru, art. 17 nu presupune ca titularul dreptului să exercite vreo acțiune anume pentru ca entitatea să trebuiască să șteargă datele ilegal prelucrate. Titularul are dreptul la ștergere, independent, iar entitatea are obligația să șteargă datele prelucrate ilegal, independent. Cu alte cuvinte, susține Autoritatea, obligația de a șterge datele nu e întotdeauna corelativă solicitării titularului dreptului de a șterge datele acelea - iar asta e demonstrată de acele situații prevăzute de GDPR de ștergere a datelor când asta rezultă ca obligatorie din context, pentru că a trecut perioada pentru care erau necesare, în termenii contractuali ș.a.m.d.

A vedea când are obligația să șteargă datele personale prelucrate e o chestiune ce ține de operator câteodată, nu trebuie să aștepte să-i ceară titularul dreptului asta, spune comitetul. În concluzie, art. 17 din GDPR prevede două obligații de ștergere a datelor prelucrate:

a) aceea rezultată din faptul că titularul și-a exercitat dreptul și a cerut ștergerea (și e îndreptățit la ea, desigur);

b) obligația de sine stătătoare de ștergere.

Prin urmare, spune CEPD, art. 58(2) lit.g) e o bază legală pentru autoritățile din statele membre pentru ca, din oficiu, să ceară unui operator ștergerea datelor personale prelucrate atunci când nu a cerut titularul asta.