Monthly Archives

1. GİRİŞ

12 Mart 2024 tarihinde Resmi Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) bazı değişiklikler yapılmıştır ve bu değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecektir. Bu kapsamda KVKK m.6’da yer alan özel nitelikli kişisel verilerin işlenmesini hukuka uygun kılan sebepler ve m.9’da yer alan yurt dışına kişisel veri aktarımı konularında değişiklikler gerçekleşecektir. Öngörülen değişikliklerin özellikle iş hukuku uygulamalarına bazı etkileri olacaktır. Bu bağlamda özellikle bugüne kadar açık rıza ile gerçekleştirilen bazı kişisel veri işleme süreçlerinin gözden geçirilmesi gerekecektir.

• ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE YURT DIŞINA AKTARIM KONUSUNDA ÖNGÖRÜLEN DEĞİŞİKLİKLER
• Özel Nitelikli Kişisel Verilerin İşlenmesi

Değişiklik ile özel nitelikli kişisel verilerin işlenmesini mümkün kılan hukuka uygunluk sebepleri arttırılmıştır. Düzenlemenin mevcut haliyle sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler yalnızca kanunlarda öngörülen hallerde, sağlık ve cinsel hayat verileri ise istisnai hallerde sağlık personeli ve SSK ile Sağlık Bakanlığı tarafından açık rıza olmaksızın işlenebilmekteydi. Değişiklik ile ilgili madde aşağıdaki şekilde değiştirilmiştir:

“Özel nitelikli kişisel verilerin işlenme şartları

MADDE 6

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirilme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş̧ ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş̧ ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

halinde mümkündür.

(3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”

• Yurt Dışına Kişisel Veri Aktarımı

Yurt dışına veri aktarımı bakımından değişiklik ile üç farklı hukuka uygunluk sebebi kategorisinin ((i) yeterlilik kararı, (ii) uygun güvenceler ve (iii) arızi veri aktarım hali) yaratılmıştır. Bu hukuka uygunluk sebeplerinden önce değişiklikte vurgulanan ilk husus yurt dışına kişisel veri aktarımında iki aşamalı hukuka uygunluk testi uygulanması gerektiğidir. Öncelikle kişisel veriler KVKK m.5 ve 6’ya uygun olarak aktarılmalı ve bundan sonra ikinci aşama olarak yurt dışına transferde KVKK m.9’da yer alan ek bir hukuka uygunluk sebebi olmalıdır.

• İŞ HUKUKU UYGULAMALARINDA BUGÜNE KADAR YAŞANAN ZORLUKLAR
• Özel Nitelikli Kişisel Verilerin İşlenmesi

KVKK m.6’nın değişiklikten önceki hali uyarınca özel nitelikli kişisel verilerin işlenmesi bakımından hukuka uygunluk sebeplerinin sınırlı olması uygulamada özellikle işe alım, özlük ve iş sağlığı ve güvenliği uygulamaları bakımından sıkıntılar yaratmaktaydı. Özellikle işe alım süreçlerinde adli sicil kaydı ile sağlık raporlarının alınması, bunların özlük dosyasında tutulması, engelli çalıştırma yükümlülüğünün yerine getirilmesi, çalışan sağlık raporlarının tutulması ve bu süreçlerin insan kaynakları ekipleri tarafından yürütülmesi gibi konularda ne şekilde ilerlenmesi gerektiği tartışma yaratmaktaydı.

• Yurt Dışına Aktarım

Değişiklik öncesi henüz Kişisel Verileri Koruma Kurulu tarafından bir güvenli ülke listesi ilan edilmemiş olması ve yurt dışına aktarıma ilişkin diğer mekanizmaların pratikte uygulanmasının zor olması sebebiyle sıkıntılar yaşanmaktaydı. KVKK m.9’un önceki hali uyarınca çalışan kişisel verilerinin yurt dışında bulunan grup şirketleri ile iş ortaklarına aktarılması veya şirket bünyesinde sunucuları yurt dışında bulunan teknolojilerin kullanılması ancak açık rıza ile mümkün olmaktaydı. Bu durum iş süreçlerinin yürütülmesi bakımından ciddi zorluklara yol açmaktaydı.

• İş İlişkisinde Açık Rızanın Geçerliliği

Bu konularda birçok veri sorumlusu işveren çalışanların açık rızasını alarak ilerlemek durumunda kalıyordu. Ancak özellikle iş ilişkisi kapsamında, işveren ile çalışanlar arasındaki güç dengesi de göz önünde bulundurulduğunda, açık rızanın çalışanların özgür iradesiyle verilip verilmediği dolayısıyla geçerli bir açık rıza olarak değerlendirilip değerlendirilemeyeceği de tartışma yaratıyordu.

• DEĞİŞİKLİK SONRASI UYGULAMA VE SONUÇ

Değişiklik ile çalışanların sağlık verileri dahil tüm özel nitelikli kişisel verilerinin özellikle kanunlarda öngörülen hallerde ve istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olan hallerde açık rıza olmaksızın işlenmesi ve yine çalışan kişisel verilerinin KVKK m.5 ve 6’da sayılan hukuka uygunluk sebeplerine uygun olarak yurt dışına açık rıza olmaksızın aktarılması mümkün hale gelecektir. Bu bağlamda süreçlerin tekrar kurgulanması ve şirketlerin gizlilik politikalarını, aydınlatma metinlerini gözden geçirmesi gerekecektir. Yurt dışına aktarım bakımından öngörülen uygun güvenceler kapsamında Kişisel Verileri Koruma Kurulu’nun standart sözleşmeyi ilan etmesi ve bildirime ilişkin sürecin netleşmesi gerekecektir. Bu kapsamda alınması gereken aksiyonlar hakkında detaylı bilgi almak için Solak&Partners Hukuk Bürosu ile iletişime geçebilirsiniz.

28 Şubat 2024 tarihli Türk Parası Kıymetini Koruma Hakkında 32 Sayılı Karara İlişkin Tebliğ’de (Tebliğ No: 2008-32/34) (“Tebliğ”) Değişiklik Yapılmasına Dair Tebliğ (“Değişiklik Tebliği”) ile döviz ile ödeme yasağı bulunan birtakım sözleşmelerin döviz ile ödenmesi serbest hale getirilmiştir. Aşağıda değişiklikleri inceleyelebilirsiniz.

1. Döviz ile Ödeme Yasağının Esnetildiği Haller

Tebliğ’in 8’inci maddesinin dokuzuncu fıkrasının son cümlesi “Ancak söz konusu sözleşmelere ilişkin aşağıda belirtilen haller dışında kalan ödeme yükümlülüklerinin Türk parası cinsinden yerine getirilmesi ve kabul edilmesi zorunludur:” şeklinde değiştirilmiş ve aynı fıkraya aşağıdaki bentler eklenmiştir.

1. 19 Nisan 2022 tarihinden önce akdedilen menkul satış sözleşmelerinin ifası kapsamında 19 Nisan 2022 tarihli Tebliğ değişikliğinin yürürlük tarihi öncesinde dolaşıma girmiş bulunan döviz cinsinden kıymetli evraklar kapsamındaki ödeme yükümlülükleri: Hazine ve Maliye Bakanlığı (“Bakanlık”) burada yalnızca 19 Nisan 2022 tarihinden önce kurulan menkul satış sözleşmesi için verilmiş ve 19 Nisan 2022 tarihli Tebliğ değişikliğinden önce dolaşıma girmiş kıymetli evraklar bakımından istisna getirmiştir. Bu iki şart sağlanmadığı takdirde döviz ile ödeme yasağının devam ettiği değerlendirilebilecektir.
2. 19 Nisan 2022 tarihinden önce düzenlenmiş faturalar kapsamındaki ödeme yükümlülükler: Bakanlık yine 19 Nisan 2022 tarihini esas almıştır. Döviz ile ödemeye ilişkin faturanın bu tarihten sonra kesilmiş olması halinde yasak devam edecektir.
3. Borsa İstanbul A.Ş. Kıymetli Madenler ve Kıymetli Taşlar Piyasasında döviz cinsinden gerçekleştirilen kıymetli maden ve kıymetli taş alım satım işlemleri ile bu işlemlerin takası kapsamındaki ödeme yükümlülükler: Kıymetli madenler ve kıymetli taşlar piyasasında gerçekleştirilen alım satıma ilişkin ödemelerde döviz ile ödemeye izin verilmiştir.
4. Dış Ticaret Sermaye Şirketi Statüsüne İlişkin Tebliğ ve Sektörel Dış Ticaret Şirketleri Statüsüne İlişkin Tebliğ kapsamında, aracılı ihracat sözleşmesine dayanarak Dış Ticaret Sermaye Şirketleri veya Sektörel Dış Ticaret Şirketleri üzerinden gerçekleştirilecek ihracatlar ile 5973 sayılı İhracat Destekleri Hakkında Karar kapsamındaki İhracat Konsorsiyumu ve 5986 sayılı E-İhracat Destekleri Hakkında Karar kapsamındaki E-İhracat Konsorsiyumu statüsüne sahip şirketler üzerinden aracılı ihracat sözleşmesine dayanarak gerçekleştirilecek ihracatlara yönelik menkul satış sözleşmeleri kapsamındaki ödeme yükümlülükler: Bakanlık’ın 1 Mart 2024 tarihli duyurusunda sektörden gelen talepleri dikkate alarak ve uygulamadaki sorunları gidermek amacıyla bu sözleşmeleri yasak kapsamı dışında tuttuğunu belirtmiştir.
5. Gümrük beyannamesine tabi tutulan ihrakiye satış ve teslimi dahil 4458 sayılı Gümrük Kanunu’ndaki transit ve gümrük antrepo rejimleri ile geçici depolama ve serbest bölge hükümlerinin uygulandığı malların teslimine ilişkin akdedilen menkul satış sözleşmeleri kapsamındaki ödeme yükümlülükler: Bakanlık’ın 1 Mart 2024 tarihli duyurusunda sektörden gelen talepleri dikkate alarak ve uygulamadaki sorunları gidermek amacıyla bu sözleşmeleri yasak kapsamı dışında tuttuğunu belirtmiştir.
6. Serbest bölgede faaliyet gösteren firmalar ile dış ticaret işlemleri kapsamında yapılan menkul satış sözleşmesine konu malların teslimine ilişkin ödeme yükümlülükleri: Bakanlık’ın 1 Mart 2024 tarihli duyurusunda sektörden gelen talepleri dikkate alarak ve uygulamadaki sorunları gidermek amacıyla bu sözleşmeleri yasak kapsamı dışında tuttuğunu belirtmiştir.

Yukarıda belirtilen a, b ve c bentleri 21 Nisan 2022 tarihinden itibaren geçerli olmak üzere diğer bentler ise yayım tarihi olan 28 Şubat 2024 tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir.

• Değerlendirme ve Sonuç

Değişiklik Tebliği ile uygulamada döviz ile ödemelerin sık yapıldığı sektörler bakımından döviz ile ödeme yasağının esnetildiği görülmektedir. Değişiklikler genellikle menkul satış sözleşmelerine yöneliktir. Mevcut şartları sağlayan sözleşmelerdeki ödeme yükümlülüklerinin döviz cinsinden veya dövize endeksli olarak gerçekleştirilmesi mümkün hale gelmiştir. Düzenlemelerin bir kısmı yalnızca geçmişe yönelik yükümlülüklerin dövizle ödenmesine imkan tanımaktadır. Bu bakımdan 19 Nisan 2022 tarihi önem arz etmekte ve ilgili istisnalarda bu tarihten sonraki işlemler bakımından döviz ile ödeme yasağının devam ettiği unutulmamalıdır.

With the Communiqué on the Amendment of the Communiqué on the Decision No. 32 on the Protection of the Value of Turkish Currency (Communiqué No: 2008-32/34) (“Communiqué”) dated 28 February 2024 (“Amendment Communiqué”), it is stated that certain contracts that are prohibited from being paid in foreign currency in the past may be made in foreign currency freely now. You can review the changes below.

1. Ban on Payments with Foreign Currency Has Been Relaxed

The last sentence of the ninth paragraph of Article 8 of the Communiqué has been amended to read as follows: “However, the payment obligations other than those specified below in relation to such contracts must be made and accepted in Turkish currency.” The following clauses have been added to the same paragraph.

1. Payment obligations arising from negotiable instruments denominated in foreign currency and issued prior to the effective date of the amendment of the Communiqué dated April 19, 2022, within the scope of performing movable sales contracts entered into before April 19, 2022: The Ministry of Treasury and Finance (“the Ministry”) has provided an exception here only for sales contracts established before April 19, 2022, and for negotiable instruments that were in circulation before the amendment to the Regulation dated April 19, 2022. If these two conditions are not met, the ban on payments with foreign currency may be considered to remain in effect.
2. Payment obligations arising from invoices issued before April 19, 2022: The Ministry has once again considered the date of April 19, 2022. If the invoice for payment in foreign currency is issued after this date, the ban will continue to apply.
3. Precious metals and precious stones trading transactions carried out in foreign currency on Borsa İstanbul A.Ş. Precious Metals and Precious Stones Market, and the payment obligations within the scope of settling these transactions: Payments in foreign currency are allowed for transactions conducted in the market of precious metals and stones.
4. Payment obligations within the scope of the Communiqué on the Status of International Trading Companies and the Communiqué on the Status of Sectoral Foreign Trade Companies; payment obligations within the scope of movable sales contracts for exports through International Trading Companies or Sectoral Foreign Trade Companies under an intermediated export contract; and exports through companies with the status of Export Consortium under the Decision on Export Subsidies No. 5973 and E-Export Consortium under the Decision on E-Export Subsidies No. 5986 under an intermediated export contract: The Ministry stated in its announcement dated March 1, 2024, that it has exempted these contracts from the scope of the ban, taking into account the demands from the sector and aiming to address the issues in practice.
5. Payment obligations within the scope of movable sales contracts for the delivery of goods subject to the transit and customs warehouse regimes in Customs Law No. 4458, including the sale and delivery of the bunker fuel subject to a customs declaration, and the provisions of temporary storage and the free zone: The Ministry stated in its announcement dated March 1, 2024, that it has exempted these contracts from the scope of the ban, taking into account the demands from the sector and aiming to address the issues in practice.
6. Payment obligations regarding the delivery of goods subject to the movable sales contracts made within the scope of foreign trade transactions with the companies operating in the free zone.
   According to the Amending Communiqué, the exceptions specified in subparagraphs (a), (b) and (c) above will be effective as of April 21, 2022, and those specified in subparagraphs (d), (e) and (f) will be effective as of February 28, 2024: The Ministry stated in its announcement dated March 1, 2024, that it has exempted these contracts from the scope of the ban, taking into account the demands from the sector and aiming to address the issues in practice.

The provisions stated in clauses a, b, and c shall come into effect as of April 21, 2022, while the other clauses shall come into effect as of the publication date, February 28, 2024.

• Evaluation and Conclusion

With the Amendment Communiqué, it is observed that the ban on payments with foreign currency has been relaxed in sectors where payments in foreign currency are frequently made. The changes primarily target sales contracts. Payment obligations in contracts that meet the current criteria are now allowed to be fulfilled in foreign currency or indexed to foreign currency. Some of the regulations only allow for payments in foreign currency for past obligations. Therefore, the date of April 19, 2022, is crucial, and it is important to keep in mind that the ban on payments with foreign currency continues for transactions after this date in the relevant exceptions.

1. What Does GDPR Say About Publicly Available Data?[1]

General Data Protection Regulation (“GDPR”) requires that when information is provided to individuals from whom personal data has not been directly obtained, it must include the source of the personal data and whether it came from publicly accessible sources.

Therefore, it is clear that data subjects must be notified in accordance with Article 14 of GDPR when their personal data comes from publicly available sources.

Special rules govern the processing of special categories of personal data and seem to exempt publicly available data from certain requirements. Specifically, according to Article 9, if the processing concerns personal data that the data subject has clearly made public, explicit consent or other legal basis listed in Article 9 is not necessary. However, the data must have been made public by the data subject and must clearly indicate their intention for the data to be further processed. It should be noted that all other provisions, including principles and Article 6, still apply, and the processing of personal data is only allowed if the purpose cannot reasonably be fulfilled by other means.

Finally, GDPR has special provisions relating to the right to be forgotten and publicly available data. It is clear that this right would be fully applicable, and in addition to that, the controller who has made the personal data public shall take reasonable steps, including technical measures, to inform other controllers who are processing the personal data that the data subject has requested the erasure by such controllers of any links to or copy or replication of that personal data.

• What would be the Usual Legal Basis?[2]

In light of the above, there is no doubt that when publicly available data is processed, this process is subject to GDPR provisions. This entails the necessity of establishing a legal basis from the outset, documenting it, and including it in relevant assessments (such as data protection impact assessments), as well as communicating it to the data subjects.

There are various scenarios for using such data, and theoretically, different types of legal bases could apply. For example, the data subject may provide consent or enter into an agreement for companies to compile publicly available data about them. This may be in the data subject’s interest, especially if they are well-known and wish to analyze trends for a broader audience. Specific laws and regulations may also require or provide exemptions for the collection or analysis of data for journalistic, academic, artistic, or literary purposes.

However, generally data controllers using publicly available information will rely on legitimate interests. As indicated by the Article 29 Data Protection Working Party, the notion of legitimate interest could include a broad range of interests, whether trivial or very compelling, straightforward or more controversial. It will then be in a second step, when it comes to balancing these interests against the interests and fundamental rights of the data subjects, that a more restricted approach and more substantive analysis should be taken. Even though this opinion has been issued under the European Data Protection Directive, these considerations would be still fully valid and up to the point. One of the specific examples in favor of making the data public would be in the case of publication of data for purposes of transparency and accountability, where public disclosure is done primarily not in the interest of the controller who publishes the data, but rather in the interest of other stakeholders, such as employees, journalists or the general public, to whom the data is disclosed.

• Decision and Analysis of the Use of Publicly Available Personal Data under GDPR

With one of its decisions, the Belgian Data Protection Authority (the “DPA”) clarified that personal data published on social media is still protected by GDPR.[3]

Therefore, the purpose limitation principle in Article 5 (1) (b) of GDPR also applies to publicly available data, unless an exception applies. The purpose limitation principle requires that data is only used for the initial processing purpose for which it was collected, or a purpose that is compatible with this initial purpose. Exceptions to the purpose limitation principle are provided for by Article 5 (1) (b) of GDPR “for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes”.

Even though the NGO was using the data for a scientific study, the DPA found that in this case the defendant could not rely on the exception for scientific research, as no additional safeguards provided by Article 89 of GDPR (e.g., pseudonymisation) had been taken by the defendant. Such safeguards, as well as thorough documentation of the compliance with data protection law, are required to rely upon the exception for scientific research.

Thus, if the data is processed for a purpose that is incompatible with the initial one (and no exception applies), there has to be a legal basis for the processing under Article 6 of GDPR. These are:

• Data subject’s consent;
• In terms of a contract or potential contract with an individual;
• To comply with legal obligations;
• To protect the vital interests of the data subject or another natural person;
• To perform a task carried out in the public interest or in the exercise of official authority; or
• Legitimate interests.

It’s important to highlight that the public sharing of personal data (e.g., on social media) does not automatically imply consent for further use, despite common assumptions.[4] The reuse of data for the study led to their publication without pseudonymization and without a legal basis. DPA views the violation of the authors’ rights to their tweets as excessive, as they did not consent to the publication of their data without prior pseudonymization.[5]

If legitimate interests are intended to be the basis for the processing, it should be kept in mind that GDPR obliges controllers to provide the respective data subjects with certain information – even if the personal data has been obtained from public sources. If personal data has not been obtained from the data subjects themselves, but from other sources like social media, Article 14 of GDPR obliges the controller to provide data subjects, for instance, with the following information:

• Name and contact details of the controller and, if applicable, a representative and/or a data protection officer;
• Legal basis and purposes of the processing, and if the processing is based on legitimate interests, a separate list of all legitimate interests;
• Recipients or categories of recipients of personal data;
• Information on data transfers to third countries or international organisations outside the EU/EEA;
• Retention period of personal data; and
• Information on the rights of data subjects under Art. 15-21 GDPR.

Moreover, legitimate interests can only be used as basis for data processing if the legitimate interests outweigh the interests of the data subjects. To assess this a legitimate interest assessment has to be performed.[6]

• Right to be Forgotten

The right to be forgotten is regulated under Recitals 65 and 66 and in Article 17 of GDPR. It states, “The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay” if one of the conditions applies. “Undue delay” is considered to be about a month. Therefore, reasonable steps shall be taken to verify the person requesting erasure is actually the data subject.

The right to be forgotten is closely linked to individuals’ right to access their personal information in Article 15 of GDPR. Without the ability to take action when they no longer consent to data processing, when there are significant data errors, or when they believe data is being stored unnecessarily, individuals’ control over their data becomes meaningless.

In such cases, individuals can request the data to be erased. However, this is not an absolute right. If it were, the critics who argue that the right to be forgotten is simply a way to rewrite history would be justified. As a result, GDPR carefully navigates on data erasure.[7]

In Article 17, GDPR regulates the specific circumstances in which the right to be forgotten applies. An individual has the right to have their personal data erased if:

• The personal data is no longer necessary for the purpose an organization originally collected or processed it.
• An organization is relying on an individual’s consent as the lawful basis for processing the data and that individual withdraws their consent.
• An organization is relying on legitimate interests as its justification for processing an individual’s data, the individual objects to this processing, and there is no overriding legitimate interest for the organization to continue with the processing.
• An organization is processing personal data for direct marketing purposes and the individual objects to this processing.
• An organization processed an individual’s personal data unlawfully.
• An organization must erase personal data in order to comply with a legal ruling or obligation.
• An organization has processed a child’s personal data to offer their information society services.

However, an organization’s right to process someone’s data might override their right to be forgotten. Here are the reasons cited in GDPR that trump the right to erasure:

• The data is being used to exercise the right of freedom of expression and information.
• The data is being used to comply with a legal ruling or obligation.
• The data is being used to perform a task that is being carried out in the public interest or when exercising an organization’s official authority.
• The data being processed is necessary for public health purposes and serves in the public interest.
• The data being processed is necessary to perform preventative or occupational medicine. This only applies when the data is being processed by a health professional who is subject to a legal obligation of professional secrecy.
• The data represents important information that serves the public interest, scientific research, historical research, or statistical purposes and where erasure of the data would likely to impair or halt progress towards the achievement that was the goal of the processing.
• The data is being used for the establishment of a legal defense or in the exercise of other legal claims.

Furthermore, an organization can request a “reasonable fee” or deny a request to erase personal data if the organization can justify that the request was unfounded or excessive.

---

[1] Publicly available data under the GDPR: Main considerations (iapp.org)

[2] Publicly available data under the GDPR: Main considerations (iapp.org)

[3] decision-quant-au-fond-n-13-2022.pdf (autoriteprotectiondonnees.be)

[4] GDPR fine for NGO using tweets for a study | activeMind.legal

[5] Digital Law Up(to)date: Belgian DPA fines NGO and researcher for GDPR violations regarding the political profiling of tweets (stibbe.com)

[6] GDPR fine for NGO using tweets for a study | activeMind.legal

[7] Everything you need to know about the “Right to be forgotten” – GDPR.eu