حق فراموش شدن

دایرکتوری حذف حساب‌های کاربری

rtbf.ir

شما هم مشارکت کنید

چه زمان می‌توان درخواستی مبنی بر حق فراموشی اعلام کرد؟ + جریمه گوگل به دلیل نقض قانون GDPR!

تاریخ: 3 مرداد 1402   امیر

GDPR باید درخواست‌ها برای حذف‌داده‌ها یا نشانی‌های وب را در برابر منافع عمومی متعادل کند و بررسی کند که آیا با هم مرتبط هستند یا خیر. اگر داده‌ها نادرست باشند یا دیگر با پردازش داده‌های مذکور موافقت نکنند، می‌توانند در رابطه با داده‌های حساس خود اقدام کنند. شرایط خاصی وجود دارد که در ماده 17 GDPR ذکر شده است که به وضوح بیان می‌کند که چه زمانی می‌توان RTBF یا همان حق فراموشی را درخواست کرد تا داده‌های شخص حقیقی یا حقوقی متقاضی از سطح اینترنت یا بستر مورد نظر، پاک شوند. درخواست سوژه داده در صورت رعایت معیارهای زیر قابل اجرا در نظر گرفته می‌شود:

  • اگر دلیل اصلی سازمان برای جمع‌آوری و پردازش داده‌های شخصی دیگر ضروری نباشد. این می‌تواند برای اهداف بازاریابی مستقیم یا برای اهداف آماری باشد.
  • اگر داده‌های شخصی جمع‌آوری‌شده به رضایت فرد متکی است و اکنون رضایت خود را پس گرفته‌اند.
  • اگر سازمان مورد نظر از منافع مشروع به عنوان دلیل نگهداری و پردازش داده‌های شخص استفاده کند و شخص مخالف باشد. اگر هیچ منفعت مشروعی برای سازمان برای ادامه نگهداری و پردازش داده‌ها وجود نداشته باشد، این حق موضوع داده است که درخواست حذف اطلاعاتش را کند.
  • اگر بتوان نشان داد که سازمان هنگام جمع‌آوری و پردازش داده‌های شخصی قانون را زیر پا گذاشته است.
  • اگر سازمان مجبور به انجام اقدامات معقول برای حذف‌داده‌های شخصی پاک شده برای رعایت یک تعهد یا حکم قانونی باشد.

 

چه زمانی حقوق سازمان برای پردازش داده‌ها بر موضوع داده غلبه می‌کند؟

شرایط خاصی وجود دارد که در آن حق سازمان بر داده‌های افراد به عنوان منافع مشروع اصلی فرد در نظر گرفته می‌شود. دلایل زیر در GDPR ذکر شده است:

  • اگر داده‌های شخصی برای اعمال حق آزادی اطلاعات و بیان مهم تلقی شود.
  • اگر از داده‌ها برای مطابقت با یک تعهد یا حکم قانونی استفاده شود.
  • اگر داده‌های شخصی مربوط به فرد برای انجام وظیفه‌ای در جهت منافع عمومی (مانند تحقیقات علمی یا تحقیقات تاریخی)، یا زمانی که مقام رسمی سازمان پردازش داده درگیر است، استفاده می‌شود.
  • داده‌ها برای منافع عمومی یا به دلایل بهداشت عمومی ضروری در نظر گرفته می‌شوند.
  • داده‌های مورد نظر برای پزشکی پیشگیرانه یا کار ضروری هستند. با این حال، این تنها زمانی اعمال می‌شود که داده‌ها تحت کنترل یک متخصص بهداشتی باشد که موظف است به تعهدات قانونی مربوط به رازداری حرفه‌ای یا اقدامات فنی پایبند باشد.
  • داده‌ها برای ادعاهای حقوقی یا برای ایجاد یک دفاع قانونی استفاده می‌شود.

اگر سازمان بتواند به درستی توجیه کند که درخواست حذف‌داده‌ها بیش از حد یا بی‌اساس است، می‌تواند درخواست حذف کامل داده‌های شخصی را رد کند یا می‌تواند «هزینه معقولی» درخواست کند. برای اطمینان از اینکه همه نسخه‌ها تحت پوشش قرار می‌گیرند و هر درخواستی برای فراموش شدن داده‌ها به صورت آنلاین (یعنی حذف شده توسط سازمانی که در ابتدا آن‌ها را جمع‌آوری کرده است)، باید به هر درخواست جداگانه رسیدگی شود. همه متغیرهای مرتبط با چنین حقی به این معنی است که هر ارزیابی جداگانه باید با دقت انجام شود و برخلاف قوانین محلی و همچنین GDPR در نظر گرفته شود. بسته به درخواست، کنترل کننده داده، یا موضوع داده (یا هر دو) ممکن است عناصر خاصی از چرایی و مکان پردازش داده‌ها را توجیه کنند.

 

یک درخواست معتبر برای حق فراموشی چگونه است؟

هیچ مشخصاتی تحت GDPR در مورد مشخصات درخواست شفاهی معتبر یا درخواست کتبی وجود ندارد. موضوع داده می‌تواند درخواست را به صورت کتبی یا شفاهی ارائه کند و می‌تواند آن را به هر یک از اعضای سازمان مربوطه ارسال کند. به عبارت دیگر، درخواست برای اطمینان از اینکه نتایج جستجو دیگر داده‌های شخصی را نشان نمی‌دهند، لازم نیست به یک کمیسر اطلاعات یا افسر مشخص شده باشد.

 

یک سازمان چگونه باید به یک درخواست واکنش نشان دهد یا به آن پاسخ دهد؟

سازمان‌ها باید اطمینان حاصل کنند که مصرف کننده با GDPR، حق فراموشی و چگونگی و زمان درخواست افراد آشنا است. همه شرکت‌های کنترل‌کننده داده‌ها باید فرآیندها و آموزش‌هایی برای کارمندان برای درک قانون، نوع داده‌ها و اینکه چرا افراد سوژه داده‌ها ممکن است بخواهند آن‌ها را از نمایش در نتایج جستجوی Google (یا سایر موتورهای جستجو) حذف کنند، داشته باشند. هنگامی که درخواست دریافت می‌شود، سازمان باید داده‌های مشخص شده را ظرف یک ماه حذف کند. همانطور که توضیح دادیم، برخی از معافیت‌ها و شرایط خاص وجود دارد که در آن‌ها حق سازمان بر داده‌ها جایگزین سوژه‌ها می‌شود. سازمان همچنین باید به هر طرف دیگری که از داده‌ها مطلع بوده است، درخواست را بگوید. فقط در شرایط خاصی می‌توانند از انجام این کار خودداری کنند. برای مثال، اگر این امر نامتناسب یا غیرممکن تلقی شود. با این حال، آن‌ها باید به موضوع اطلاع دهند که داده‌های آن‌ها در صورت درخواست با سایر سازمان‌ها به اشتراک گذاشته شده است.

اگر داده‌های مورد نظر به صورت آنلاین به اشتراک گذاشته شده‌اند و در نتیجه در یک نتیجه جستجو در شبکه‌های اجتماعی، وب‌سایت‌ها یا هر انجمن عمومی دیگری ظاهر می‌شوند، سازمان کنترل‌کننده داده باید تمام اقدامات منطقی موجود را برای اطلاع صاحبان آن سایت‌ها انجام دهد تا نشانی‌های اینترنتی یا کپی‌هایی از داده‌ها را نیز حذف کنند.

 

اگر سازمانی از پایبندی به حق فراموشی امتناع کند چه اتفاقی می‌افتد؟

زمانی که گوگل در سال 2020 از اجرای حق فراموشی امتناع کرد، مقام حفاظت از داده بلژیک (APD) این شرکت را به میزان رکورد (در آن زمان) 600000 یورو جریمه کرد. در این مورد، گوگل پیوندهایی را که در یک نتیجه جستجو نشان داده شده بودند و برای شخصی که در بلژیک به طور عمومی شناخته شده بود، منسوخ و مضر تلقی می‌شد، حذف نکرد. حکم APD بیان کرد که گوگل سهل انگاری کرده است زیرا شواهد منسجم و قابل اثباتی وجود دارد که محتوای مورد بحث نامربوط و قدیمی بوده است. سپس به گوگل دستور داده شد که اجازه ارجاع به این داستان‌ها را در کشورهای عضو اتحادیه اروپا متوقف کند. همچنین به شرکت گفته شد که اطلاعات واضح تری در مورد اینکه چه کسی در شرکت مسئول درخواست‌های حق فراموشی است منتشر کند.