Право на забравяне — как да поискате изтриване на личните ви данни
Правото на забравяне (правото на изтриване) е право на всяко физическо лице по чл. 17 от Регламент (ЕС) 2016/679 (GDPR) да поиска от администратора незабавно изтриване на личните му данни. То се прилага при оттеглено съгласие, отпаднала цел на обработването или незаконно обработване. Правото не е абсолютно — не се прилага при законово задължение за съхранение или при упражняване на правни претенции.
Съдържание
Какво е правото на забравяне
Правото на забравяне (right to erasure / right to be forgotten) е уредено в чл. 17 от GDPR. То дава на всеки субект на данни правото да поиска от администратора изтриване на личните му данни, когато е налице някое от предвидените в Регламента основания.
Концепцията за „правото на забравяне" беше утвърдена от Съда на Европейския съюз (СЕС) в знаковото решение по дело Google Spain SL срещу AEPD и Mario Costeja González (C-131/12, 13 май 2014 г.). В това дело Съдът постанови, че операторите на търсачки са администратори на лични данни и че гражданите имат право да поискат премахване на връзки от резултатите при търсене по тяхното име, когато информацията е неточна, неуместна, вече неактуална или прекомерна.
С приемането на GDPR през 2016 г. (в сила от 25 май 2018 г.) правото на изтриване беше изрично кодифицирано в чл. 17. Важно е да се подчертае, че правото не е абсолютно — то е обвързано с конкретни основания и е ограничено от изрично предвидени изключения.
Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът е длъжен да изтрие личните данни без ненужно забавяне... — чл. 17, пар. 1 от GDPR
Кога можете да поискате изтриване
Съгласно чл. 17, пар. 1 от GDPR, правото на изтриване възниква в шест ясно определени хипотези:
-
Данните вече не са необходими
Личните данни повече не са необходими за целите, за които са били събрани или обработвани. Например, ако сте се отписали от услуга и администраторът няма друго основание да съхранява данните ви.
чл. 17(1)(а) -
Оттеглено съгласие
Оттеглили сте съгласието, на което се е основавало обработването (по чл. 6(1)(а) или чл. 9(2)(а)), и няма друго правно основание за обработването. Оттеглянето е толкова лесно, колкото и даването на съгласие.
чл. 17(1)(б) -
Упражнено право на възражение
Възразили сте срещу обработването по реда на чл. 21(1) и няма законни основания за обработването, които да имат преимущество. Или сте възразили срещу обработване за целите на директен маркетинг (чл. 21(2)).
чл. 17(1)(в) -
Незаконосъобразно обработване
Личните данни са били обработвани незаконосъобразно — например без правно основание по чл. 6(1) или в нарушение на друго законодателство за защита на данните.
чл. 17(1)(г) -
Правно задължение за изтриване
Личните данни трябва да бъдат изтрити за спазването на правно задължение по правото на ЕС или правото на държавата членка, което се прилага спрямо администратора.
чл. 17(1)(д) -
Данни на деца за услуги на информационното общество
Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на дете (по чл. 8(1)). Тази разпоредба отразява засилената защита на личните данни на деца.
чл. 17(1)(е)
Кога НЕ можете да поискате изтриване
Правото на забравяне не е абсолютно. Чл. 17, пар. 3 от GDPR предвижда пет изключения, при които администраторът може законно да откаже изтриване:
- Свобода на изразяване и информация — обработването е необходимо за упражняване на правото на свобода на изразяване и информация (напр. журналистически публикации)
- Правно задължение — обработването е необходимо за спазване на правно задължение по правото на ЕС или на държавата членка
- Обществено здраве — обработването е необходимо по причини от обществен интерес в областта на общественото здраве (чл. 9(2)(з) и (и))
- Архивиране, научни или исторически изследвания, статистика — обработването е необходимо за тези цели по чл. 89(1), доколкото изтриването би направило невъзможно или сериозно би затруднило постигането на целите
- Правни претенции — обработването е необходимо за установяването, упражняването или защитата на правни претенции
Счетоводни и медицински документи в България
В българската практика най-честото изключение е законовото задължение за съхранение. Съгласно чл. 12 от Закона за счетоводството, счетоводните документи (фактури, ведомости за заплати, договори с финансов характер) се съхраняват минимум 10 години. Медицинските досиета се съхраняват 5 години след последното посещение (съгласно Наредба No 8/2016 г. за медицинската документация). Администраторът може законно да откаже изтриването на данни, попадащи в тези категории, до изтичане на съответния срок.
Внимание при трудови правоотношения
Работодателите в България са длъжни да съхраняват определени данни от трудовото досие 50 години (за осигурителни цели) съгласно чл. 5, ал. 7 от Кодекса за социално осигуряване. Искане за пълно изтриване на данни от бивш работодател не може да бъде уважено, ако тези данни попадат в обхвата на задължително съхранение.
Как да упражните правото си — стъпка по стъпка
Ако считате, че имате основание да поискате изтриване на личните си данни, следвайте тези стъпки:
-
Идентифицирайте администратора
Установете кой е администраторът на лични данни — фирмата, организацията или институцията, която обработва данните ви. Проверете политиката за поверителност на съответния уебсайт или услуга за точните данни за контакт и DPO (длъжностно лице по защита на данните), ако има такова.
-
Подайте писмено искане
Изпратете искане за изтриване по имейл или на хартиен носител по пощата. Не е необходима определена форма, но искането трябва да бъде ясно и конкретно. Препоръчително е да посочите „Искане за изтриване на лични данни по чл. 17 от GDPR" в темата/заглавието.
-
Посочете какво трябва да съдържа искането
Включете вашите идентификационни данни (три имена, имейл/адрес), конкретно какви данни искате да бъдат изтрити, на какво основание от чл. 17(1), и начин за обратна връзка. Вижте чеклиста по-долу.
-
Изчакайте отговор — 30 дни
Съгласно чл. 12, пар. 3 от GDPR, администраторът е длъжен да отговори без ненужно забавяне и при всички случаи в срок от 1 месец. Срокът може да бъде удължен с още 2 месеца при сложни случаи, но трябва да бъдете уведомени в рамките на първия месец.
-
При отказ — жалба до КЗЛД или съд
Ако администраторът откаже или не отговори в срок, имате две възможности: (1) подайте жалба до КЗЛД — безплатно, в срок до 6 месеца от узнаването; (2) заведете иск пред съда по чл. 79 от GDPR, включително за обезщетение по чл. 82.
Чеклист: какво да включите в искането
- Три имена и данни за идентификация (имейл, потребителско име, клиентски номер)
- Ясно посочване, че упражнявате правото си по чл. 17 от GDPR
- Конкретно описание на данните, които искате да бъдат изтрити
- Основание от чл. 17(1) — защо считате, че имате право на изтриване
- Искане за потвърждение на изтриването в писмена форма
- Искане администраторът да уведоми третите лица, на които е предоставил данните (чл. 17(2))
- Дата и подпис (при хартиен носител)
- Начин за обратна връзка (имейл или пощенски адрес)
Задължения на администратора
Когато получи валидно искане за изтриване, администраторът има следните задължения:
Уведомяване на трети лица (чл. 17, пар. 2): Ако администраторът е направил личните данни обществено достъпни или ги е предоставил на други администратори, той е длъжен да предприеме „разумни стъпки, включително технически мерки", за да уведоми тези администратори, че субектът на данни е поискал изтриване на всички връзки, копия или реплики на тези данни.
Срок за отговор (чл. 12, пар. 3): Администраторът трябва да отговори в срок от 1 месец от получаването на искането. Срокът може да бъде удължен с още 2 месеца, когато искането е сложно или броят на исканията е голям, но субектът трябва да бъде уведомен за удължаването и причините за него в рамките на първия месец.
Мотивиран отказ: Ако администраторът откаже да удовлетвори искането, той е длъжен да обясни причините за отказа и да информира субекта за правото му да подаде жалба до КЗЛД и да потърси съдебна защита (чл. 12, пар. 4).
Безплатност (чл. 12, пар. 5): Информацията и действията по искането се предоставят безплатно. Администраторът може да начисли разумна такса или да откаже само ако исканията са явно неоснователни или прекомерни, като тежестта на доказване е върху него.
Какво означава „изтриване" на практика?
GDPR не дефинира изрично „изтриване", но Европейският комитет по защита на данните (ЕКЗД) приема, че то трябва да бъде ефективно и необратимо. Това означава, че данните трябва да бъдат заличени от всички системи, включително резервни копия (backups), в разумен срок. Просто маркиране на данните като „неактивни" или „скрити" не е достатъчно.
Изтриване от търсачки и интернет
Едно от най-честите практически приложения на правото на забравяне е искането за премахване (делистване) на резултати от търсачки.
Делото Google Spain (C-131/12, 2014)
В решението по делото Google Spain Съдът на ЕС постанови, че Google (и други търсачки) действа като администратор на лични данни, когато индексира и показва уеб страници в резултатите от търсене. Следователно, гражданите могат да поискат от Google да премахне определени резултати при търсене по тяхното име, без да е необходимо самият уебсайт-източник да изтрие информацията.
Географски обхват — делото GC и други (C-507/17, 2019)
В решението по делото Google LLC срещу CNIL (C-507/17) Съдът уточни, че делистването е задължително за всички версии на търсачката в ЕС (google.bg, google.de, google.fr и т.н.), но не и за версии извън ЕС (google.com в трети държави), освен ако не е необходимо за ефективна защита.
Как да поискате премахване от Google
- Отидете на формуляра на Google за премахване на лични данни
- Изберете типа информация, която искате да бъде премахната
- Посочете конкретните URL адреси на страниците, които се появяват в резултатите
- Обяснете защо информацията е неточна, неуместна или остаряла
- Google ще разгледа искането и ще ви уведоми за решението си
Социални мрежи
Всяка голяма социална мрежа (Facebook/Meta, Instagram, LinkedIn, TikTok) предоставя механизми за изтриване на акаунт и свързаните с него данни. Обикновено можете да подадете искане чрез настройките за поверителност или чрез формуляр за правата по GDPR на съответната платформа. Помнете, че при изтриване на акаунт данните може да останат в резервни копия до 90 дни.
Право на забравяне vs. други права
GDPR предоставя на субектите на данни няколко сходни, но различни права. Ето как правото на изтриване се сравнява с другите:
| Право | Член от GDPR | Какво прави | Кога да го ползвате |
|---|---|---|---|
| Изтриване (забравяне) | Чл. 17 | Пълно и окончателно изтриване на данните | Когато данните вече не са необходими или обработката е незаконна |
| Ограничаване на обработването | Чл. 18 | Данните се съхраняват, но НЕ се обработват (замразяване) | Когато оспорвате точността или законността, но не искате изтриване |
| Възражение | Чл. 21 | Прекратяване на обработката за конкретна цел (напр. маркетинг) | При обработка на основание легитимен интерес или за директен маркетинг |
| Преносимост | Чл. 20 | Получаване на данните в машинно четим формат и прехвърляне към друг администратор | Когато искате да прехвърлите данните си (напр. смяна на доставчик) |
Практически съвет
Ако не сте сигурни дали да поискате изтриване или ограничаване, помислете дали може да ви потрябват данните в бъдеще. При изтриването данните се премахват необратимо. При ограничаването те се запазват, но не се обработват — полезно например, когато чакате решение по спор или не сте сигурни дали ще ви потрябват за правна претенция.
Често задавани въпроси
Мога ли да поискам Google да изтрие резултати за мен?
Да. След решението на Съда на ЕС по делото Google Spain (C-131/12) имате право да поискате от Google да премахне (делистне) резултати от търсене, които са неточни, неуместни, остарели или прекомерни. Заявка се подава чрез специалния формуляр на Google. Обърнете внимание, че Google извършва балансиране между правото ви на забравяне и обществения интерес от достъп до информацията.
Колко време има администраторът да отговори?
Съгласно чл. 12, пар. 3 от GDPR — 1 месец от получаването на искането. Срокът може да бъде удължен с още 2 месеца при сложни случаи, но трябва да бъдете уведомени за удължаването и причините му в рамките на първия месец.
Какво да направя, ако откажат?
Имате две основни възможности: (1) подайте безплатна жалба до КЗЛД в срок до 6 месеца от узнаването; (2) заведете иск пред компетентния съд, включително за обезщетение по чл. 82 от GDPR. Двете възможности не се изключват — можете да ги упражните едновременно.
Прилага ли се правото за стари данни?
Да. Правото на изтриване се прилага независимо от давността на данните. Колкото по-стари са данните, толкова по-силен може да бъде аргументът за изтриване — особено ако първоначалната цел е отпаднала. Важно е обаче да не съществуват изключения по чл. 17(3), например законово задължение за съхранение.
Безплатно ли е?
Да. Съгласно чл. 12, пар. 5 от GDPR, упражняването на правата е безплатно. Администраторът може да наложи разумна такса само при явно неоснователни или прекомерни (повтарящи се) искания, но тежестта на доказване е изцяло върху него.
Тази статия отразява правното положение към 17 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
Нуждаете се от помощ при упражняване на правата ви?
Нашият екип от специалисти по защита на личните данни ще ви помогне да упражните правата си ефективно.
- Изготвяне на искане за изтриване на лични данни
- Защита на правата ви пред администратори
- Подаване на жалби до КЗЛД
- Представителство пред съд за обезщетение по GDPR
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.