Διαγράφεται η ανάκληση της συγκατάθεσης;
Η λετονική αρχή προστασίας δεδομένων διευκρινίζει τα όρια της υποχρέωσης διαγραφής δεδομένων μετά από σχετικό αίτημα του υποκειμένου
Ένα γυμναστήριο προσφέρει εδώ και χρόνια στους πελάτες του, όχι μόνο προγράμματα γυμναστικής, αλλά και τη δυνατότητα να λαμβάνουν με e-mail ειδικές προσφορές ή ενημέρωση για εκδηλώσεις. Για τον σκοπό αυτό δημιουργήθηκε λίστα παραληπτών newsletters, στην οποία τα δεδομένα καταχωρούνταν μόνο με τη συγκατάθεση του πελάτη.
Μια μέρα, το γυμναστήριο έλαβε e-mail από μακροχρόνια πελάτισσά του, με το οποίο αυτή ανακαλούσε τη συγκατάθεσή της να λαμβάνει προωθητική επικοινωνία και ζητούσε τη διαγραφή όλων των δεδομένων που είχαν υποβληθεί σε επεξεργασία βάσει της συγκατάθεσής της.
Μετά τη λήψη του αιτήματος, το γυμναστήριο επανεξέτασε προσεκτικά όλες τις εγγραφές που σχετίζονταν με την πελάτισσα και εντόπισε εκείνες που είχαν συλλεχθεί αποκλειστικά για σκοπούς μάρκετινγκ. Η πελάτισσα αφαιρέθηκε από τη λίστα παραληπτών newsletters και όλα τα δεδομένα της που είχαν συλλεγεί για την αποστολή διαφημιστικού υλικού διαγράφηκαν. Παράλληλα, συντάχθηκε και η σχετική απάντηση, με την οποία επιβεβαιώθηκε ότι η διαγραφή των δεδομένων είχε πραγματοποιηθεί.
Ωστόσο, τέθηκε το εξής ερώτημα: πρέπει στα δεδομένα που θα διαγραφούν να περιληφθεί και το αίτημα της πελάτισσας περί ανάκλησης της συγκατάθεσης και διαγραφής, όπως και η αντίστοιχη απάντηση του γυμναστηρίου, δεδομένου ότι και εκεί περιέχονται προσωπικά δεδομένα;
Διευκρινίζεται ότι, εάν ένα άτομο ανακαλέσει τη συγκατάθεσή του για την επεξεργασία των δεδομένων του και ζητήσει τη διαγραφή όλων των δεδομένων που σχετίζονται με αυτή τη συγκατάθεση, ο οργανισμός έχει την υποχρέωση να σταματήσει το συντομότερο δυνατό την επεξεργασία αυτών των δεδομένων και να τα διαγράψει, εφόσον δεν υφίστανται άλλες νομικές βάσεις για τη συνέχιση της αποθήκευσης ή χρήσης τους. Αυτό σημαίνει ότι πρέπει να διαγραφούν όλα τα δεδομένα που συλλέχθηκαν βάσει συγκατάθεσης (π.χ. τα δεδομένα που ελήφθησαν μέσω συμπληρωμένης φόρμας ή η διαγραφή του προσώπου από τη λίστα παραληπτών προωθητικών ανακοινώσεων).
Αντιθέτως, το ίδιο το έγγραφο του αιτήματος με το οποίο το άτομο ανακαλεί τη συγκατάθεση, καθώς και η απάντηση του οργανισμού σε αυτό, δεν πρέπει να διαγραφούν μαζί με τα προαναφερθέντα δεδομένα, διότι η επεξεργασία αυτών των πληροφοριών δεν βασίζεται στη συγκατάθεση, κατά την έννοια του Γενικού Κανονισμού Προστασίας Δεδομένων. Οι πληροφορίες αυτές μπορούν να διατηρηθούν, προκειμένου να εξυπηρετηθούν τα συμφέροντα του οργανισμού στην τεκμηρίωση της συμμόρφωσής του και στην προάσπιση των δικαιωμάτων του. Τέτοια δεδομένα διατηρούνται συνήθως:
• για σκοπούς αρχειοθέτησης, ήτοι διατήρησης της αλληλογραφίας του οργανισμού με άλλα πρόσωπα,
• για σκοπούς απόδειξης, ώστε, εάν χρειαστεί, να μπορεί να επιβεβαιωθεί ότι το αίτημα λήφθηκε, ικανοποιήθηκε και πότε συνέβη αυτό.
Ως εκ τούτου, ο οργανισμός δικαιούται να διατηρήσει αυτά τα έγγραφα και δεδομένα, με τα οποία το άτομο ζήτησε τη διαγραφή των δεδομένων του, για μια εύλογη, προκαθορισμένη χρονική περίοδο. Η περίοδος αυτή πρέπει να ορίζεται στην εσωτερική πολιτική του οργανισμού και να είναι δυνατόν να αιτιολογηθεί, λαμβάνοντας υπόψη τόσο τις απαιτήσεις αρχειοθέτησης όσο και τις προθεσμίες επίλυσης πιθανών διαφορών.
