“被遗忘权”源于Google西班牙诉v.AgenciaEspa oladeProtecciónde Datos和Mario CostejaGonzález案(2014年)。2018年GDPR正式实施后,赋予了个人要求删除其数据的权利,并且规定组织有义务这样做。现在,欧洲法院规定——互联网领域的“被遗忘权”是正当的,这引起了全世界的关注。
众所周知,GDPR被称为史上最严个人数据保护法,适用范围非常广泛。实际事务中,如果有人提出要删除个人数据,企业该怎么办?必须删除个人数据吗?可以不删除吗?是否必须告知其他组织有关个人数据的删除?多长时限内删除?能收处理费吗?个人数据删除权和访问权同属于数据主体的权利,企业对其处理的共同之处在哪里?今天SCA结合GDPR官方文档为大家整理的是:对个人数据删除权,企业有哪些责任。
一、什么情况下企业必须删除个人数据?
GDPR第三章数据主体的权利第17条删除权(也被称为“被遗忘权”)对企业必须应要求删除数据的义务做了详细的规定。第17条删除权第1、2项原文如下:
1、在下列情形之一时,数据主体有权要求数据控制者无不当迟延的删除有关其个人数据,数据控制者有义务无不当迟延地删除个人数据:
(a)该个人数据被收集或其他处理的目的而言已无必要的;
(b)当处理依据是本条例第6条第1款(a)项或第9条第2款(a)项时,数据主体撤回同意,且没有其他有关该处理的法律依据的;