EDPB: Pravica do izbrisa
Evropski odbor za varstvo osebnih podatkov je objavil poročilo o izvrševanju 17. člena GDPR, v katerem predstavlja glavne izzive pri zagotavljanju te pravice v praksi.
Novica je bila objavljena 18. 2. 2026.
Oktobra 2020 je Evropski odbor za varstvo podatkov (EDPB) ustanovil Okvir za usklajeno izvrševanje t.i. Coordinated Enforcement Framework (CEF). Namen okvira za usklajeno izvrševanje je omogočiti fleksibilno, a hkrati enotno delovanje nadzornih organov, in sicer tako pri skupnih aktivnostih ozaveščanja ter zbiranju informacij kot tudi pri usklajenih preiskavah domnevnih kršitev in skupnem izvršilnem ukrepanju. Zadnji od projektov v sklopu CEF se je osredotočal na pravico do izbrisa po 17. členu GDPR.
V projektu je sodelovalo 32 nadzornih organov iz EGP, ki so pri 764 upravljavcih preverjali, kako je pravica do izbrisa implementirana v praksi. Preverjanje je potekalo na več načinov, med drugim z zbiranjem informacij, nadaljevanjem že obstoječih postopkov ali začetkom novih. Upravljavci so prihajali iz javnega in zasebnega sektorja, bili so različnih velikosti ter delovali na številnih področjih, pri čemer so bili posebej zastopani javna uprava, zdravstvo, izobraževanje, finance in trgovina.
Splošna ocena ravni skladnosti je bila pri večini nadzornih organov označena kot povprečna, pri čemer so razlike med upravljavci izrazito povezane z velikostjo organizacije, številom prejetih zahtevkov za izbris ter stopnjo formaliziranosti notranjih procesov. Večje organizacije praviloma razpolagajo z bolj strukturiranimi tehničnimi in organizacijskimi ukrepi, vključno z dokumentiranimi postopki za obravnavo zahtevkov, medtem ko so manjši upravljavci pogosto brez formaliziranih procedur.
Poročilo izpostavlja sedem ponavljajočih se sistemskih izzivov.
Prvi se nanaša na odsotnost ali zastarelost dokumentiranih notranjih postopkov za obravnavo zahtev po 17. členu GDPR. Čeprav GDPR izrecno ne zahteva posebnega postopka, odsotnost strukturiranega procesa neposredno vpliva na spoštovanje načela odgovornosti iz 5(2) in 24. člena GDPR. V praksi se je pokazalo, da brez jasnih kriterijev upravljavci težko enotno presojajo pogoje iz 17(1) GDPR in izjeme iz 17(3) GDPR, kar vodi do neenotnih odločitev in povečanega tveganja neskladnosti.
Drugi izpostavljen problem je pomanjkljivo ali neustrezno usposabljanje zaposlenih. V številnih organizacijah je usposabljanje omejeno na splošne letne predstavitve, brez poglobljenega razumevanja pravnih pogojev za izbris, rokov iz 12. člena GDPR ter pravilne uporabe izjem. To se neposredno odraža v zamudah, napačnih zavrnitvah ali nepopolnih izbrisih.
Tretji sklop ugotovitev se nanaša na transparentnost. Več nadzornih organov je ugotovilo, da upravljavci posameznikov ne informirajo ustrezno o obstoju pravice do izbrisa, o pogojih za njeno uveljavljanje in o postopku vložitve zahteve, kar predstavlja tveganje za neskladnost z 12., 13. in 14. členom GDPR. Posebej problematično je tudi pomanjkljiva obrazložitev zavrnitev ter opustitev pouka o pravici do pritožbe pri nadzornem organu.
Četrti izziv se nanaša na uporabo izjem iz 17(3) GDPR. Ugotovljene so bile prakse, kjer so upravljavci izjeme uporabljali avtomatično, brez konkretnega tehtanja interesov ali dokumentirane pravne presoje. Posebej občutljivo je področje svobode izražanja ter sklicevanje na zakonite obveznosti hrambe, kjer so bili zaznani primeri pavšalnih zavrnitev brez individualizirane analize. Poročilo poudarja pomen dokumentiranja pravne podlage za zavrnitev ter vključevanja pravnih oziroma skladnostnih funkcij v podjetjih v odločanje.
Peti problem zadeva določanje in izvajanje rokov hrambe. Nekateri upravljavci niso bili sposobni jasno opredeliti obdobij hrambe za posamezne vrste obdelav ali pa so uporabljali najdaljši možni rok za vse podatke, ne glede na namen obdelave. To neposredno vpliva na presojo pogoja iz 17(1)(a) GDPR, saj brez jasne opredelitve namena in trajanja obdelave ni mogoče objektivno presoditi, ali so podatki še potrebni.
Posebno kompleksno področje predstavljajo varnostne kopije. Polovica sodelujočih nadzornih organov je opozorila na pomanjkanje jasnih postopkov za obravnavo izbrisa v kontekstu arhivskih sistemov. Upravljavci pogosto računajo na avtomatično prepisovanje podatkov ali splošne retencijske roke, brez jasnega odgovora na vprašanje, ali je izbris izveden brez nepotrebnega odlašanja, kot to zahteva 17(1) GDPR.
Zadnji izpostavljeni izziv je uporaba anonimizacije kot nadomestila za izbris. Več upravljavcev uporablja tehnike, ki v resnici pomenijo zgolj psevdonimizacijo ali delno maskiranje podatkov. Ker anonimni podatki po uvodni izjavi 26 GDPR ne smejo več omogočati identifikacije posameznika, nepravilna uporaba tehnik predstavlja tveganje navidezne skladnosti.
Poročilo hkrati izpostavlja dobre prakse, kot so uporaba specializiranih orodij za sledenje zahtevam, avtomatizirano generiranje dokazil o izbrisu, vključevanje kazalnikov uspešnosti pri obravnavi zahtev ter redno revidiranje notranjih postopkov. Nadzorni organi napovedujejo nadaljnje smernice, zlasti glede uporabe izjem, rokov hrambe, obravnave varnostnih kopij ter tehničnih standardov anonimizacije.
Celotno poročilo je dostopno tukaj.
Vir: EDPB
Naslovna fotografija: Unsplash
