حق فراموش شدن

GDPR که به عنوان حق فراموش شدن نیز شناخته می‌شود، به افراد این حق را می‌دهد که هر زمانی که خواستند از سازمان‌ها بخواهند اطلاعات‌شخصی خود را حذف کنند. اما سازمان‌ها همیشه مجبور نیستند این کار را انجام دهند. در اینجا توضیح می دهیم که چه زمانی حق فراموشی اعمال می‌شود و چه زمانی اینطور نیست.

مقررات عمومی حفاظت از داده‌ها (GDPR) بر نحوه جمع‌آوری، پردازش و پاک‌شدن داده‌های شخصی حاکم است. "حق فراموش شدن"، که پس از حکم دیوان دادگستری اتحادیه اروپا در سال 2014 مورد توجه بسیاری از رسانه‌ها قرار گرفت، سابقه‌ای برای حق پاک سازی موجود در GDPR ایجاد کرد. البته، با توجه به علایق رقابتی و ماهیت بسیار متصل اینترنت، حق فراموش شدن بسیار پیچیده‌تر از آن است که فردی به سادگی از سازمان بخواهد اطلاعات‌شخصی خود را پاک کند. این مقاله نگاهی دقیق تر به زمانی دارد که افراد می‌توانند درخواست فراموشی را ارائه‌دهند، ارزشی که برای ساکنان اتحادیه اروپا اضافه می‌کند و اینکه چگونه سازمان‌ها می‌توانند حق فراموشی را برای اطمینان از رعایت GDPR ایجاد کنند.

 

حق فراموش شدن چیست؟

حق فراموش شدن در موارد 65 و 66 و در ماده 17 GDPR آمده است. در آن آمده است: "موضوع داده‌ها حق دارد از کنترل کننده پاک‌شدن اطلاعات‌شخصی مربوط به او را بدون تأخیر بی جا بدست آورد و کنترل کننده موظف به حذف اطلاعات‌شخصی بدون تاخیر بی مورد" در صورت یکی از شرایط متعدد اعمال میشود. "تأخیر بی مورد" حدود یک ماه در نظر گرفته می‌شود. شما همچنین باید اقدامات منطقی را برای تأیید اینکه شخص درخواست کننده پاک شدن در واقع موضوع داده است انجام دهید.

حق فراموش شدن با حق افراد برای دسترسی به اطلاعات‌شخصی آن‌ها در ماده 15 ارتباط دارد. اگر افراد نتوانند در صورت عدم رضایت دیگر از پردازش، در صورت وجود خطاهای قابل توجه در داده‌ها، اقدامی انجام دهند، حق کنترل داده‌ها بی معنی است. آن‌ها معتقدند اطلاعات بدون نیاز ذخیره می‌شوند. در این موارد، یک فرد می‌تواند درخواست کند که داده‌ها پاک شوند. اما این یک حق مطلق نیست. اگر چنین بود، منتقدانی که استدلال می‌کنند حق فراموش شدن چیزی بیش از بازنویسی تاریخ نیست، صحیح خواهد بود. بنابراین، GDPR یک خط دقیق در مورد پاک‌کردن داده‌ها دارد.

 

چه زمانی حق فراموش شدن اعمال می‌شود؟

در ماده 17، GDPR شرایط خاصی را بیان می‌کند که تحت آن حق فراموش شدن اعمال می‌شود. هر شخصی حق دارد اطلاعات‌شخصی خود را پاک کند اگر:

• داده‌های شخصی دیگر برای هدفی که سازمان در ابتدا آن‌ها را جمع‌آوری یا پردازش کرده است، ضروری نیستند.
• یک سازمان بر اساس رضایت یک فرد به عنوان مبنای قانونی برای پردازش داده‌ها متکی است و این شخص رضایت خود را پس می‌گیرد.
• یک سازمان به عنوان توجیهی برای پردازش داده‌های افراد، بر منافع قانونی تکیه می‌کند، هر فرد به این پردازش اعتراض می‌کند و هیچ منافع قانونی قانونی برای ادامه پردازش وجود ندارد.
• یک سازمان در حال پردازش داده‌های شخصی برای اهداف بازاریابی مستقیم است و هر فرد به این پردازش اعتراض دارد.
• یک سازمان داده‌های شخصی افراد را غیرقانونی پردازش می‌کند.
• یک سازمان باید اطلاعات‌شخصی را برای رعایت حکم یا تعهد قانونی پاک کند.
• یک سازمان داده‌های شخصی کودک را برای ارائه خدمات جامعه اطلاعاتی آن‌ها پردازش کرده است.

با این حال، حق سازمان برای پردازش داده‌های شخصی ممکن است حق فراموش شدن آن‌ها را نادیده بگیرد. در اینجا دلایلی ذکر شده در GDPR است که حق فراموش شدن را ضعیف می‌کند:

• از داده‌ها برای استفاده از حق آزادی بیان و اطلاعات استفاده می‌شود.
• داده‌های شخصی دیگر برای هدفی که سازمان در ابتدا آن‌ها را جمع‌آوری یا پردازش کرده است، ضروری و مهم هستند.
• داده‌ها برای مطابقت با حکم یا تعهد قانونی مورد استفاده قرار می‌گیرند.
• داده‌ها برای انجام وظایفی که در جهت منافع عمومی انجام می‌شود یا هنگام اعمال اختیارات رسمی سازمان مورد استفاده قرار می‌گیرد.
• داده‌های مورد پردازش برای اهداف بهداشت عمومی ضروری است و به نفع عموم است.
• داده‌های در حال پردازش برای انجام داروهای پیشگیری یا کار ضروری است. این امر فقط زمانی اعمال می‌شود که داده‌ها توسط یک متخصص بهداشت تحت تعهد قانونی محرمانه بودن حرفه‌ای قرار گیرند.
• داده‌ها اطلاعات مهمی را ارائه می‌دهند که منافع عمومی، تحقیقات علمی، تحقیقات تاریخی یا اهداف آماری را تامین می‌کند و در مواردی که پاک‌شدن داده‌ها به پیشرفتی که به منظور پردازش بوده است آسیب برساند یا متوقف کند.
• این داده‌ها برای ایجاد دفاع قانونی یا برای اعمال سایر ادعاهای قانونی مورد استفاده قرار می‌گیرند.

علاوه بر این، یک سازمان می‌تواند "هزینه معقولی" درخواست کند یا درخواست حذف اطلاعات‌شخصی را رد کند در صورتی که سازمان بتواند بی اساس یا زیاد بودن درخواست را توجیه کند. همانطور که می بینید، متغیرهای زیادی وجود دارد و هر درخواست باید به صورت جداگانه ارزیابی شود. اضافه کردن بار فنی برای پیگیری همه مکان‌هایی که داده‌های شخصی یک فرد ذخیره یا پردازش می‌شود، و به راحتی می‌توان فهمید که چرا حقوق جدید حریم‌خصوصی GDPR می‌تواند برای برخی از سازمان‌ها بار انطباق قابل توجهی باشد.

 

قالب درخواست، درخواست حق فراموش شدن

GDPR مشخص نمی‌کند که یک درخواست معتبر برای پاک‌کردن شامل چه مواردی است. یک فرد می‌تواند درخواست پاک‌شدن را به صورت شفاهی یا کتبی مطرح کند. این درخواست همچنین می‌تواند به هر یک از اعضای سازمان شما ارسال شود، نه فقط به یک مخاطب تعیین شده. تا زمانی که یک درخواست شرایط فوق را داشته باشد، معتبر است، حتی اگر به "درخواست حذف"، "حق فراموش شدن"، ماده 17، یا GDPR اشاره‌ای نداشته باشد.