Nel 2025, il Diritto di Cancellazione ai sensi dell'art. 17 GDPR al centro di una revisione a livello europeo da parte delle autorità di controllo della protezione dei dati. Nell'ambito del Quadro di applicazione coordinata (CEF) del Comitato europeo per la protezione dei dati (EDPB), le aziende e gli enti pubblici sono sotto esame. Per Persone responsabili È quindi urgente intervenire per prepararsi strategicamente a eventuali misure di controllo nell'ambito dell'azione 2025 del CEF.
Qual è l'obiettivo dell'Azione CEF 2025?
L'azione 2025 del CEF mira a raggiungere un'attuazione armonizzata ed efficace del diritto alla libertà di circolazione in tutta l'UE. Cancellazione ai sensi dell'art. 17 GDPR promuovere. L'attenzione si concentra sulla questione se e come Persone responsabili attuare nella pratica questo diritto centrale dell'interessato. L'iniziativa di audit coordinato non serve solo al monitoraggio, ma anche allo scambio di esperienze tra le autorità di controllo e alla sensibilizzazione delle aziende e degli enti pubblici sui requisiti di protezione dei dati.
La selezione del tema "Diritto al Cancellazione" per l'anno 2025 è di particolare rilevanza, in quanto è uno dei diritti più frequentemente rivendicati dagli interessati e rappresenta anche una sfida operativa significativa per i responsabili. Non si tratta solo di rispondere alle richieste di cancellazione, ma anche di ancorare strutturalmente i processi di cancellazione nei sistemi informatici, nei flussi di lavoro e nelle strutture di conformità. La misura in cui Persone responsabili
- Elaborare le richieste di cancellazione in modo corretto ed efficiente,
- Applicare correttamente le eccezioni alla richiesta di cancellazione,
- implementare sistematicamente i concetti di estinzione interna,
- e informare le persone interessate in modo trasparente.
Le autorità di controllo della protezione dei dati partecipanti utilizzano questionari standardizzati in tutta Europa per ottenere risultati comparabili. Questi possono essere integrati da interviste approfondite, analisi di documenti o audit in loco. L'obiettivo è quello di riassumere i risultati degli audit, identificare le debolezze sistematiche e, se necessario, formulare raccomandazioni o Linee guida per i responsabili.
I risultati vengono analizzati e pubblicati a livello centrale.
Diritto alla cancellazione ai sensi dell'art. 17 e dell'art. 19 GDPR
Il diritto di Cancellazione è in Art. 17 GDPR ed è uno dei diritti fondamentali degli interessati. Esso obbliga il responsabile del trattamento, Dati personali immediatamente a determinate condizioni.
- 17 par. 1 GDPR specifica i requisiti materiali per il diritto alla cancellazione. Questi includono, in particolare, la finalità (i dati non sono più necessari per le finalità originarie), la Revoca uno Consensoil Contraddizione contro il Elaborazione ai sensi dell'art. 21 GDPRun illecito Elaborazione o obblighi di cancellazione previsti dalla legge.
- 17 par. 3 GDPR regola le eccezioni al diritto alla cancellazione. Queste includono gli obblighi di conservazione previsti dalla legge, gli interessi pubblici prevalenti, le finalità di archiviazione nel pubblico interesse e l'affermazione, l'esercizio o la difesa di diritti legali. In pratica, queste eccezioni devono essere attentamente verificate e documentate per poter resistere a un controllo di vigilanza.
- 19 GDPR obbligato Persone responsabili Inoltre, tutti i destinatari a cui Dati personali sono stati resi noti i dati relativi al Cancellazione a meno che ciò non risulti impossibile o comporti uno sforzo sproporzionato. L'obbligo di informazione contribuisce a garantire la portata del diritto alla cancellazione anche in caso di trasferimento dei dati.
Un aspetto che spesso viene sottovalutato è lo stretto legame con la Diritto di opposizione ai sensi dell'art. 21 GDPRin particolare in relazione alla pubblicità diretta. Un'azione consentita Contraddizione spesso conduce direttamente a un diritto alla cancellazione, per cui entrambi i diritti devono essere considerati e attuati insieme nella pratica.
Rilevanza dell'Azione 2025 del CEF per le imprese e le autorità
L'azione 2025 del CEF pone delle sfide alle aziende e agli enti pubblici, soprattutto se questi ultimi Dati personali processo. Quasi tutti i settori sono interessati: dalla sanità ai fornitori di servizi finanziari e assicurativi, fino ai fornitori di e-commerce e alle autorità pubbliche. Anche gli studi legali hanno già ricevuto i questionari.
Un fattore di rischio è la mancanza o l'inadeguata implementazione di processi di cancellazione sistematica. Sebbene molte organizzazioni abbiano adottato politiche che garantiscono il diritto alla cancellazione dei dati. Cancellazione ma falliscono quando si tratta di implementazione pratica. Spesso i sistemi non sono in grado di cancellare completamente i dati o non esistono responsabilità chiare per l'elaborazione delle richieste di cancellazione. Inoltre, le eccezioni di cui all'art. 17, par. 3, del Codice Civile non sono state applicate. GDPR come i periodi di conservazione previsti dalla legge o interessi legittimi non sono adeguatamente documentati o sono applicati in modo troppo generico.
Inoltre, le organizzazioni sono sempre più obbligate a dimostrare agli interessati e alle autorità di controllo che le richieste di cancellazione sono state elaborate in modo tempestivo, comprensibile e conforme alla protezione dei dati. Le autorità chiedono specificamente queste prove nell'ambito dell'azione 2025 del CEF. Ciò riguarda sia i processi interni che la cooperazione con i fornitori di servizi e gli incaricati del trattamento esterni.
Suggerimento di lettura: La gestione integrata del rischio nella pratica - combinare protezione dei dati, conformità e sicurezza
Sette raccomandazioni strategiche per la preparazione
- Verificare l'annullabilità: Persone responsabili dovrebbe effettuare un inventario sistematico di tutti i sistemi di elaborazione dei dati. Deve essere chiaramente documentato dove sono conservati i dati e se possono essere completamente cancellati, anche nel contesto dei backup o dei servizi cloud.
- Concetto di cancellazione e definire le scadenze: Una procedura interna Concetto di cancellazione deve disciplinare chiaramente quali dati personali devono essere cancellati e quando. Si deve tenere conto degli obblighi di conservazione previsti dalla legge (ad es. HGB, AO, SGB) e dei requisiti specifici del settore.
- Elenco delle attività di trattamento (VVT) deve essere aggiornato: Il VVT deve contenere informazioni sui periodi di conservazione e cancellazione, sulle finalità del trattamento e sulle responsabilità. Serve come documento di verifica centrale nell'ambito dell'audit CEF.
- Trasparenza nei confronti degli interessati: Le dichiarazioni sulla protezione dei dati dovrebbero riconoscere il diritto di Cancellazione in modo comprensibile. Allo stesso tempo, è necessario stabilire un processo strutturato per la gestione delle richieste di informazioni, compresi modelli di risposta standardizzati, anche per i rifiuti in casi eccezionali.
- Chiarire la formazione e le responsabilità: I dipendenti che svolgono funzioni rilevanti per la protezione dei dati, in particolare i settori IT, HR e customer service, dovrebbero ricevere una formazione regolare. Le responsabilità e i percorsi di escalation per le richieste di cancellazione devono essere chiaramente regolamentati internamente.
- Controllare i contratti con i responsabili del trattamento: I contratti di trattamento dei dati devono contenere norme chiare sulla cancellazione dei dati, soprattutto dopo la fine del contratto. Inoltre, è necessario assicurarsi che i responsabili del trattamento siano responsabili della completa cancellazione dei dati. Cancellazione e può anche documentarlo.
- Preparazione alle richieste di informazioni da parte delle autorità: si raccomanda un coordinamento interno tempestivo con i responsabili della protezione dei dati e i responsabili della conformità. È necessario definire un punto di contatto centrale per le richieste di informazioni sulla protezione dei dati, in grado di rispondere rapidamente in caso di audit CEF.
Domande tipiche sull'Azione 2025 del CEF e sull'autocontrollo
Il Commissario di Stato per il Protezione dei dati e libertà d'informazione il Baden-Württemberg ha compilato il questionario per la campagna europea sul diritto all'informazione. Cancellazione online. Le domande tipiche sono, ad esempio:
- "In che modo la vostra organizzazione valuta che Dati personali (che sono oggetto di una richiesta di cancellazione) non sono più necessari in relazione alle finalità per le quali sono stati raccolti o altrimenti trattati (art. 17 (1) (a)) GDPR)?"
- "Cosa fa la vostra organizzazione quando il colpiti Persona loro Consenso revocato (art. 17, comma 1, lettera b)) GDPR)?"
- "Cosa fa la vostra organizzazione quando il colpiti Persona del Elaborazione contraddice (art. 17 par. 1 lett. c GDPR)?"
- "Nel caso di una richiesta di cancellazione sulla base dell'articolo 17, paragrafo 1, lettera c), la vostra organizzazione ha GDPR mai rifiutato di divulgare i dati sulla base dei suoi "motivi legittimi prevalenti di trattamento". Elaborazione" da cancellare? Come intendete l'espressione "motivi legittimi prevalenti" e come si conciliano tali motivi con gli interessi, i diritti e le libertà degli interessati? Descrivete in dettaglio i casi che avete incontrato, compreso il bilanciamento degli interessi in ciascun caso".
Suggerimento per il collegamento: Autoverifica online sull'articolo 17 del GDPR da parte del Commissario di Stato per la protezione dei dati e la libertà di informazione del Baden-Württemberg
Le aziende possono quindi prepararsi in modo specifico per la campagna di prova.
Se avete bisogno di supporto nell'implementazione di un concetto di cancellazione o se volete identificare e correggere potenziali punti deboli, contattateci. I nostri esperti di protezione dei dati saranno lieti di aiutarvi.
☎️ +49 (228) 926165-100
📧verona@2b-advice.com
German 
English 
Italian 
French