A Törlési Jog Technikai Végrehajtása
A GDPR 17. cikke — "az elfelejtéshez való jog" — megköveteli, hogy a szervezetek töröljék a személyes adatokat, ha:
- Az adatokat az eredeti célra már nincs szükség
- Az érintett visszavonja a beleegyezést
- Az érintett tiltakozik és nincs felülmúló érdek
- A személyes adatokat jogellenesen dolgozták fel
Az EDPB 2025-ös koordinált végrehajtási akciója 22 DPA egyidejű vizsgálatát vezette az erasure rights kezelésére vonatkozóan. A főbb megállapítások:
Technikai Kihívások a Törlési Jog Megvalósításában
1. Fragmentált adattárolás: Az egyéni személyes adatok jellemzően több rendszeren van szétszórva: CRM, marketing platform, support rendszer, elemzési adatbázis, biztonsági mentések. A törlési kérelem minden rendszerre vonatkozik.
2. Biztonsági mentések és archiválás: Az EDPB útmutatása szerint a törlési kötelezettség kiterjed a biztonsági mentésekre — bár elfogadható a következő ütemezett törlési cikluson belüli törlés.
3. Névtelenítés vs. törlés: Az EDPB 2025-ös iránymutatása megerősítette: a valódi névtelenítés teljesíti a törlési kötelezettséget, ha az azonosítás már nem lehetséges. Ez lehetővé teszi az elemzési adatkészletek megőrzését az egyes azonosítók törlése után.
4. Harmadik fél értesítése: A törlés kötelezettség kiterjed az adatfeldolgozókra — minden szállítót értesíteni kell.
Az Erasure Request Folyamat Automatizálása
Hatékony erasure folyamat:
- Automatizált azonosítás, hogy hol tárolódnak az egyéni adatok (adattérkép)
- Törlési/névtelenítési szkriptek futtatása az összes rendszeren
- Értesítés küldése az adatfeldolgozóknak
- Befejezési visszaigazolás 30 napon belül az érintettnek