Ali ponudniki digitalnih storitev spoštujejo pravico do izbrisa osebnih podatkov? Poročilo skupne evropske akcije CEF 2025

Informacijski pooblaščenec je kot član Evropskega odbora za varstvo podatkov (EDPB) sodeloval v usklajeni nadzorni akciji glede izvrševanja pravice do izbrisa osebnih podatkov. Na ravni Slovenije smo se osredotočali na izvrševanje pravice do izbrisa, ki jo zahtevajo potrošniki v sektorju deljene mobilnosti in javnega prevoza. Informacijski pooblaščenec je izvedel inšpekcijske nadzore pri treh upravljavcih na področju deljene mobilnosti in javnega prevoza. Rezultat akcije so ključne ugotovitve in priporočila za vse upravljavce, ki nudijo digitalne storitve.

Ključne ugotovitve Informacijskega pooblaščenca

IP je ugotovil nekaj ključnih pomanjkljivosti, ki so se pogosto pojavljale pri upravljavcih osebnih podatkov:

• Zavajajoča ali nepregledna uporaba funkcije »izbriši račun«: posameznik želi izbris osebnih podatkov, vendar s funkcijo izbriši račun doseže samo odstranitev aplikacije s svoje naprave ali omejitev obdelave osebnih podatkov do poteka roka hrambe, ne pa resničnega izbrisa osebnih podatkov. Posamezniki o takšnem načinu izbrisa njihovih osebnih podatkov niso ustrezno obveščeni.

• O zavrnitvi pravice do izbrisa posamezniki niso ustrezno obveščeni: kadar je bila posameznikova zahteva za izbris zavrnjena (ker jih upravljavec na primer potrebuje zaradi uveljavljanja ali obrambe pravnih zahtevkov), posamezniki pogosto niso prejeli jasne in pravočasne informacije o razlogih za zavrnitev ter o pravici do pritožbe.

• Pomanjkljiva dokumentacija in sledljivost zahtev: več upravljavcev ni imelo urejenih evidenc o prejetih zahtevah za izbris in sprejetih odločitvah, kar otežuje dokazovanje, da upravljavec deluje skladno s Splošno uredbo. IP poudarja, da je uveljavljanje pravice do izbrisa pomemben vidik varstva osebnih podatkov, neustrezno zagotavljanje pravic pa tudi v evropskem merilu med najpogosteje ugotovljenimi kršitvami Splošne uredbe (in posledično razlogi za izrekanje glob in drugih nadzornih sankcij).

• Pazljivo pri anonimizaciji podatkov: izbris podatkov se v praksi pogosto izvaja z anonimizacijo podatkov, kar je sicer lahko dopustno, če podatkov po izvedenem postopku ni več mogoče povezati z določljivim posameznikom.

Na kaj morajo biti upravljavci digitalnih podatkov še posebej pozorni?

Na podlagi ugotovitev iz nadzorne akcije IP upravljavcem predlaga:

• če je možnost za izbris ponujena v aplikaciji, mora uporaba te možnosti s strani uporabnikov dejansko pomeniti tudi izbris osebnih podatkov, ne zgolj tehnične ali organizacijske omejitve obdelave, o čemer pa mora biti posameznik jasno obveščen;

• če upravljavec podatkov na podlagi zahteve ne izbriše, mora posameznika jasno, razumljivo in pravočasno obvestiti o razlogih za zavrnitev ter o pravici do pritožbe, ki se vloži pri IP;

• upravljavci morajo imeti jasno opredeljene notranje postopke, določene odgovornosti in ustrezno evidentirati obravnave posameznih zahtev za izbris;

• roki hrambe osebnih podatkov morajo biti utemeljeni, sorazmerni in pregledno navedeni v informacijah za posameznike;

• pri uporabi zunanjih ponudnikov IT-rešitev, odgovornost za zakonito in pregledno izvajanje pravice do izbrisa ostaja na strani upravljavca.

Usklajena nadzorna akcija (ang. Coordinated Enforcement Framework - CEF) je mehanizem EDPB za zagotavljanje enakega pristopa k izvrševanju pravic in obveznosti po celotni Evropski uniji in Evropskem gospodarskem prostoru. Akcija, v kateri je sodelovalo 32 nadzornih organov iz celotnega Evropskega gospodarskega prostora, se je zaključila s sprejemom skupnega poročila, ki ga je EDPB potrdil in objavil 10. 2. 2025.

Ugotovitve EDPB na ravni EU

Skupno poročilo EDPB, ki temelji na odzivih 764 upravljavcev po vsej EU, potrjuje, da je pravica do izbrisa ena najpogosteje uveljavljanih pravic posameznikov, hkrati pa tudi ena zahtevnejših za pravilno izvajanje.

EDPB je na ravni EU prepoznal in izpostavil sedem pogostih in ponavljajočih se kršitev, ter pri tem upravljavcem podal naslednja priporočila:

1. Odsotnost urejenih internih pravil in postopkov za obravnavo zahtev za izbris

Vzpostavitev in redno posodabljanje notranjih postopkov z jasno določenimi roki, koraki in razdelitvijo nalog za obravnavo in evidentiranje zahtev za izbris.

2. Pomanjkljivo usposabljanje zaposlenih

Povečanje ozaveščenosti ter zagotavljanje sredstev za redna, vlogam prilagojena usposabljanja, po potrebi tudi z uporabo obstoječih virov in gradiv, ki jih objavljajo nadzorni organi (npr. IP).

3. Neustrezne in pomanjkljive informacije za posameznike

Redno pregledovanje obvestil o obdelavi osebnih podatkov z namenom, da se posameznikom zagotovijo jasne in razumljive informacije o uveljavljanju pravice do izbrisa.

4. Neustrezni in slabo obrazloženi razlogi za zavrnitev zahtev za izbris

Zagotavljanje, da so v postopke odločanja o zavrnitvi ali odložitvi izbrisa vključeni sodelavci iz pravnega oddelka ali oddelkov s področja skladnosti poslovanja.

5. Neustrezno določanje in zagotavljanje spoštovanja rokov hrambe osebnih podatkov

Pri dokumentiranju rokov hrambe (npr. v evidencah dejavnosti obdelave) se jasno opredelijo pravne podlage, ki utemeljujejo čas hrambe osebnih podatkov.

6. Zagotavljanje pravice do izbrisa osebnih podatkov v zvezi z varnostnimi kopijami

V svojo informacijsko infrastrukturo naj se uvedejo dnevniki izbrisa (t.i. deletion logi), ki omogočajo samodejni izbris osebnih podatkov ob obnovi varnostnih kopij.

7. Izzivi anonimizacije kot načina zagotavljanja »izbrisa« osebnih podatkov

Upravljavci morajo biti pozorni, da se anonimiziranih podatkov po izbrisu ni več mogoče povezati z določljivim posameznikom.