anonym.legal
Nazaj na blogGDPR in skladnost

Pravica do pozabe po GDPR: EDPB vodila 2025 in...

EDPB (Evropski odbor za varstvo podatkov) je izdal nova vodila za Člen 17 (pravica do pozabe) v februarju 2025.

April 20, 20269 min branja
GDPR right to erasureEDPB coordinated enforcement 2025Article 17 compliancedata minimizationanonymization vs deletion

EDPB vodila iz februarja 2025

EDPB je v februarju 2025 izdal »Guidelines 05/2025 on the Right to Erasure«. Ključne točke:

  1. De-identifikacija šteje kot »pogojne pozabe«: Če organizacija de-identificira podatke, jih ne sme obnoviti (povratek), to se šteje za brisanje pod Členom 17.
  2. Heširanje alone ni dovolj: Samo heširanje podatkov se ne šteje za brisanje. Organizacije morajo izbrisati\ originalne podatke in hranjenje samo heš vrednosti.
  3. Šifriranje je obrnljivo: Če je šifriranje obrnljivo (ključ je shranjeno), to se ne šteje za brisanje.
  4. "Delno brisanje" je dovoljena: Organizacija lahko ohrani anonimne podatke za analitiko, če ne morejo biti povezani s posameznikami.
  5. Revidirani ročni termini: EDPB priporoča, da morajo organizacije izbrisati podatke v roku 30 dni od prejema zahtevka (prej je bilo 45 dni).

Te nove zahteve so bolj restriktivne in zahtevajo jasno strategijo za hišne organizacije.

Kako se razlikuje od starega EDPB vodilja

Pravo vodilja iz leta 2019 je bila bolj sporna. Sedaj je text bolj jasen:

Aspekt2019 Vodilja2025 Vodilja
Heširanje"Šteje se za brisanje""Ne šteje se za brisanje – morajo biti izbrisani originalnih podatkov"
Šifriranje"Mogoče šteje za brisanje""Ni brisanje – obrnljivo"
De-identifikacija"Ambiguozna""Šteje se za brisanje, če je neobrnjiva"
Rok45 dni30 dni

Kako izvajati novo GDPR pravico v praksi

Osem korakov:

Korak 1: Shranjena podatkovnega rediga

Organizacija mora imeti jasan seznam, kaj je shranjeno in zakaj:

Data Store | Purpose | Retention | Deletion Method
--- | --- | --- | ---
CRM | Customer relations | 3 years | Anonymous + Delete
Analytics | Product improvement | 1 year | De-identify + Delete
Backup | Disaster recovery | 30 days | Crypto wipe
Logs | Security auditing | 6 months | Encrypt + Delete
Archivals | Legal hold | As required | Segregated + Review

Korak 2: De-identifikacija kot prva možnost

Ko se prejme zahtevek za brisanje:

  1. Preveri, ali je podatek lahko de-identificiran
  2. Če je de-identifikacija mogoča in neobrnjiva, to se šteje za brisanje
  3. Če je de-identifikacija obrnljiva (npr. šifriranje z ohranjenim ključem), to je NE brisanje

Korak 3: Spremenjena podatkov

Organizacija mora fizično izbrisati vse kopije podatkov:

  • CRM sistem
  • Varnostne kopije
  • Arhivi
  • Lokalnih datotek
  • Log datoteke (če vsebujejo PII)
  • Spletne aplikacije

EDPB zahteva, da je ta proces dokumentiran in revidiaran.

Korak 4: Prikažite skladnost

V primeru nadzora ali tožbe, mora organizacija pokazati:

  1. Prejete zahteve za brisanje
  2. Kako je podatek identificiran
  3. Kako je bil izbriskan
  4. Časovni potek
  5. Kdo je odgovoren

Delavec varnostne prakse

Sorodni članki

GDPR in skladnost

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR in skladnost

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR in skladnost

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Ste pripravljeni zaščititi svoje podatke?

Začnite z anonimizacijo PII z več kot 285 tipi entitet v 48 jezikih.

Začnite brezplačno preizkušnjoOgled funkcij