Rozporządzenie wprowadza między innymi prawo do usunięcia danych, zwane również „prawem do bycia zapomnianym”. W teorii prawo to oznacza, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe w całości, jeżeli zachodzi jedna z wymienionych w Rozporządzeniu okoliczności.
Administrator ma obowiązek usunąć dane osobowe na żądanie podmiotu danych osobowych, m.in., gdy:
– dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
– osoba, której dane dotyczą, cofnęła zgodę, na której opierało się przetwarzanie i nie ma innej podstawy prawnej przetwarzania;
– osoba, której dane dotyczą wnosi sprzeciw wobec przetwarzania dotyczących jej danych osobowych;
– dane zostały przetwarzane niezgodnie z prawem.
Obowiązkiem wynikającym z Rozporządzenia, a ciążącym na administratorze jest także upewnienie się, że wszystkie kopie, repliki i inne odniesienia, (np. w postaci linków w Internecie) zostały usunięte. Nie wystarczy dezaktywacja danych, należy je całkowicie usunąć. Rozporządzenie obarcza administratora danych osobowych odpowiedzialnością za usunięcie treści przechowywanych przez osoby trzecie. Ciąży na nim również obowiązek poinformowania administratorów przetwarzających dane osobowe, że osoba, której dane dotyczą, żąda, aby jej dane osobowe zostały usunięte. Prawo do bycia zapomnianym ma szczególne znaczenie wtedy, gdy osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie danych osobowych, będąc dzieckiem, lub gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chciałaby usunąć dane osobowe jej dotyczące.
Rozporządzenie wprowadza także wyłączenia prawa do bycia zapomnianym. Prawo to nie ma zastosowania, w zakresie, w jakim przetwarzanie danych jest niezbędne:
– do korzystania z prawa do wolności wypowiedzi i informacji;
– do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
– z uwagi na cele zdrowotne oraz interes publiczny w dziedzinie zdrowia publicznego;
– do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych;
– do ustalenia, dochodzenia lub obrony roszczeń.
Administrator może odmówić usunięcia danych osobowych, powołując się na powyższe wyłączenia.
W tej sytuacji brak usunięcia danych powinien być uznany za zgodny z prawem. Jednakże obowiązkiem administratora jest poinformowanie wnioskodawcy o przyczynach odmowy.
Zmiana przepisów wiąże się z wieloma wyzwaniami dla administratorów danych osobowych oraz podmiotów, które przetwarzają dane na ich polecenie. Administratorzy będą zmuszeni, pod rygorem narażenia się na odpowiedzialność finansową, do dostosowania wewnętrznych procedur do celów realizacji praw podmiotów danych osobowych. Najwięcej problemów może przysporzyć zapewnienie szybkiej i efektywnej odpowiedzi na żądanie usunięcia danych osobowych.
Wiele podmiotów przechowuje ogromną ilość danych osobowych. Organizacyjne i techniczne przeszkody mogą zatem w znacznym stopniu utrudnić realizację dużej ilości żądań w krótkim czasie. W praktyce wyegzekwowanie skuteczności wniosku o usunięciu danych osobowych może okazać się niezwykle trudne.