Ano Ang Right to Erasure Sa GDPR
Ang GDPR Article 17 ay nag-grant sa data subjects ng right to request deletion ng personal data. Ang request ay must be honored 'without undue delay' — typically 30 days. Ang scope:
- Ang data na already been collected
- Ang data na ay necessary na para sa original purpose
- Ang data na walang lawful basis para sa continued storage
Ang EDPB 2025 guidance ay nag-clarify ang compliance:
-
Irreversible anonymization, hindi pseudonymization
- Ang pseudonymization (encryption, hashing with reversible keys) ay hindi sapat
- Ang data must be anonymized such na re-identification ay impossible kahit kasama ang data controller
- Irreversible methods: deterministic encryption with key destruction, aggregation, generalization
-
Audit trail for erasure
- Ang data controller ay dapat mag-document ng date/time ng erasure
- Ang proof ng erasure ay dapat retrievable during regulatory audit
- Ang log entries ay debe sarili protected (pseudonymized)
-
Downstream data deletion
- Ang data na shared sa third parties ay dapat din ma-delete
- Ang processors ay required na mag-notify ng all sub-processors
- Ang responsibility chain ay unbroken from data controller to last processor
-
Exceptions to erasure
- Ang legal obligation (tax, audit, compliance) ay may override
- Ang exception ay specific at documented sa privacy policy
- Ang data ay kept sa secure, pseudonymized form pending expiry ng legal hold
Ang anonym.legal ay nag-support ng irreversible anonymization methods na compliant sa EDPB 2025 — deterministic redaction, keyed masking with key destruction, at aggregation-based anonymization na impossible na i-reverse.