Asmuo (duomenų subjektas) turi teisę reikalauti, kad, pavyzdžiui, buvusi darbovietė (duomenų valdytojas) ištrintų asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių: (i) duomenys nebėra reikalingi tikslams, dėl kurių jie buvo renkami arba tvarkomi; (ii) asmuo atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti duomenis; (iii) asmuo nesutinka su duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis; (iv) duomenys buvo tvarkomi neteisėtai; (v) duomenų valdytojo pareiga ištrinti duomenis numatyta teisės aktuose; (vi) duomenys buvo surinkti reglamente išskirto informacinės visuomenės paslaugų siūlymo kontekste.
Žinoma, tai nėra absoliuti asmens teisė ir Bendrasis duomenų apsaugos reglamentas yra numatęs išimtis, kada galima atsisakyti ištrinti asmens duomenis: (i) siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę (ši išimtis itin aktuali žiniasklaidai); (ii) siekiant vykdyti teisines prievoles (pavyzdžiui, darbo sutartis turi būti saugoma 50 metų) arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; (iii) dėl viešojo intereso priežasčių visuomenės sveikatos srityje; (iv) archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais; (v) siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.
Praktikoje dažniausiai daroma klaida, kai įmonės, gavusios tokį prašymą, iš karto stengiasi įvertinti tokio prašymo pagrįstumą, tačiau pamiršta nustatyti tokio asmens tapatybę. Dėl šių aukščiau minėtų priežasčių pirmiausia reikėtų identifikuoti asmenį. Pavyzdžiui, elektroniniu paštu gavus tokį prašymą reikėtų įvertinti, ar toks prašymas yra pasirašytas elektroniniu parašu. Jeigu ne – informuoti duomenų subjektą, jog įmonė negali nustatyti asmens tapatybės, o tik tinkamai pateikus pasirašytą prašymą gali vertinti jo pagrįstumą.
Tada, kai prašymą teikęs asmuo sėkmingai identifikuotas, turėtų prasidėti informacijos apie asmenį rinkimas (t.y., kokius duomenis apie asmenį įmonė yra sukaupusi). Vėliau jau reikėtų įvertinti, ar yra bent vienas pagrindas tenkinti asmens prašymą. Jeigu tokių pagrindų randame, tikriname, ar nėra išimčių, kurios būtų pagrindas tokių veiksmų neatlikti. Pavyzdžiui, kilo teisinis ginčas su nepatenkintu klientu, todėl įmonė turi teisėtą interesą tokių duomenų neištrinti (įmonės teisinis interesas gintis nuo pareikštų reikalavimų).
Tačiau tai nereiškia, kad turime ir toliau kaupti informaciją, kuri yra susijusi su rinkodaros pranešimais. Tokiu atveju atsakyme į prašymą reikėtų itin detaliai paaiškinti, jog duomenų, susijusių su sutartimi, įmonė ištrinti negali. Be to, turėdama teisinį interesą tokius duomenis kaupti, įmonė turi nurodyti motyvuotas priežastis. Dėl visų kitų duomenų nurodoma, kad, vykdant asmens prašymą, tokie duomenys bus nedelsiant ištrinami ir/ar sunaikinami.
Apibendrinant, procedūra atrodo nesudėtinga, tačiau „Avocad“ praktikoje pasiteikė atvejų, jog susiduriama su iššūkiais: pamirštama identifikuoti asmenį (pavyzdžiui, kreipiasi ne duomenų subjektas, o jo sutuoktinis); nėra reaguojama į prašymą (pavyzdžiui, įmonė negali nustatyti asmens tapatybės, todėl nusprendžia apskritai jokių veiksmų neatlikti); nėra atliekami jokie veiksmai, nes įmonė mano, jog turi teisėtą interesą tokius duomenis kaupti; įmonė vertina, jog jokių asmens duomenų nerenka (nors vėliau paaiškėja priešingai); įmonės darbuotojas mano, jog prašymą išnagrinės kitas kolega (tačiau galiausiai niekas to neatlieka ir vėliau tenka susidurti su Valstybine duomenų apsaugos inspekcija) ir pan.
Ar Jūsų įmonėje nėra buvę tokių nutikimų? Verta sunerimti ir imtis veiksmų, jog tokios situacijos nepasikartotų. Kiekviena įmonė turėtų organizuoti mokymus arba bent jau rengti vidinius sutikimus, kurių metu įmonės darbuotojai būtų supažindinami su esminiais principais bei jų taikymo mechanizmu (kokius veiksmus reikėtų atlikti gavus prašymą, ko nereikėtų atlikti ir pan.). Tai leidžia išvengti itin skausmingų baudų už elementarius pažeidimus, kurie asmens duomenų apsaugos yra vertinami itin griežtai ir principingai.
