Informacijski pooblaščenec je v okviru skupne evropske nadzorne akcije preverjal, kako ponudniki digitalnih storitev izvajajo pravico posameznikov do izbrisa osebnih podatkov. Nadzori so v Sloveniji potekali pri treh upravljavcih na področju deljene mobilnosti in javnega prevoza, ugotovitve pa so del širšega poročila skupne akcije CEF 2025, ki jo koordinira Evropski odbor za varstvo podatkov.
Po ugotovitvah Informacijskega pooblaščenca se pri upravljavcih osebnih podatkov pogosto pojavljajo sistemske pomanjkljivosti. Med najpogostejšimi so zavajajoče ali nepregledne funkcije “izbriši račun”, ki v praksi ne pomenijo dejanskega izbrisa osebnih podatkov, temveč zgolj odstranitev aplikacije ali omejitev obdelave do izteka roka hrambe. Posamezniki o takšnem načinu ravnanja pogosto niso ustrezno obveščeni.
IP je zaznal tudi primere, ko so bile zahteve za izbris zavrnjene, ne da bi posamezniki prejeli jasno in pravočasno obrazložitev razlogov ter informacijo o pravici do pritožbe. Dodatna težava je pomanjkljiva dokumentacija, saj nekateri upravljavci ne vodijo ustreznih evidenc o prejetih zahtevah in sprejetih odločitvah, kar otežuje dokazovanje skladnosti s Splošno uredbo o varstvu podatkov.
Priporočila upravljavcem digitalnih storitev
Na podlagi nadzorov Informacijski pooblaščenec upravljavcem priporoča, da mora možnost izbrisa v aplikacijah pomeniti dejanski izbris osebnih podatkov, ne zgolj tehničnih ali organizacijskih omejitev. Če zahtevi za izbris ne ugodijo, morajo posameznika jasno, razumljivo in pravočasno obvestiti o razlogih za zavrnitev ter o možnosti pritožbe pri IP.
Upravljavci morajo imeti jasno opredeljene notranje postopke, določene odgovornosti in urejene evidence obravnave zahtev. Roki hrambe osebnih podatkov morajo biti utemeljeni, sorazmerni in pregledno navedeni v informacijah za uporabnike. Informacijski pooblaščenec opozarja tudi, da odgovornost za zakonito izvajanje pravice do izbrisa ostaja na strani upravljavca, tudi kadar uporablja zunanje ponudnike IT-rešitev.
Skupno poročilo Evropskega odbora za varstvo podatkov, ki temelji na odzivih 764 upravljavcev po Evropski uniji in Evropskem gospodarskem prostoru, potrjuje, da je pravica do izbrisa ena najpogosteje uveljavljanih, hkrati pa tudi ena zahtevnejših pravic za pravilno izvajanje.
Na ravni EU so nadzorni organi prepoznali ponavljajoče se težave, med drugim odsotnost urejenih internih postopkov, pomanjkljivo usposabljanje zaposlenih, nejasne informacije za posameznike, slabo obrazložene zavrnitve zahtev, neustrezno določanje rokov hrambe ter izzive pri zagotavljanju izbrisa podatkov iz varnostnih kopij. Posebno pozornost so namenili tudi anonimizaciji, pri čemer opozarjajo, da podatkov po izvedenem postopku ne sme biti več mogoče povezati z določljivim posameznikom.
![Romana Tomc [Foto: www.RomanaTomc.si]](https://i0.wp.com/portal24.si/wp-content/uploads/2023/05/tomcromana2018-19-scaled.jpg?fit=300%2C200&ssl=1)
