Длъжен ли е администраторът да изтрие личните данни, ако са събрани без законово основание?

Бърз отговор

Да. Ако личните данни са били събрани или предоставени без валидно правно основание (например без легитимно съгласие или законово задължение), администраторът е длъжен в срок от един месец от узнаването да ги върне на субекта, или ако това е невъзможно – да ги изтрие и унищожи, като документира процеса.
Проверено от Екипът на ПравниОтговори
Източници:

Детайли по темата

Незабавно унищожаване на незаконни масиви

Съхраняването на лични данни “за всеки случай”, без ясно и законово оправдано основание (като например активен договор, съгласие или нормативно изискване), е забранено.

Съгласно чл. 25а от Закона за защита на личните данни (ЗЗЛД), когато лични данни са предоставени на администратор без правно основание (по чл. 6 от GDPR) или в противоречие с принципите за обработка, той е длъжен в срок от един месец от узнаването да ги върне на човека. Ако връщането е невъзможно или изисква несъразмерно големи усилия, законът го задължава физически или дигитално да ги изтрие или унищожи.

За да може да докаже съответствието си перед контролните органи (КЗЛД), администраторът е длъжен изрично да документира акта на изтриване или унищожаване.

Проверено от Екипът на ПравниОтговори

Проектът се реализира с подкрепата на Адвокат Стела Дойкова. Научете повече за нас.