任何個人資料都可以請求刪除嗎？從奧地利法院判決談遺忘權的限制

曾受破產宣告經歷過債務重整的個人可以向信用評分機構主張遺忘權，要求信用評分機構刪除過去破產的紀錄或是相關的財務資料嗎？

奧地利法院給了答案，不行。

個資主體向奧地利個資主管機關（DSB）依照GDPR第17條的規定主張遺忘權，要求信用評分機構刪除過去的財務資料。奧地利個資主管機關依照下列的判斷順序認定該信用評分機構不需刪除過去的財務資料。

法院認定該信用評分機構符合GDPR第5條規定的個資蒐集處理原則，目的的明確性、資料蒐集的最小性以及資料的正確性，即時更新個人相關的資訊，並且該資料是對於個人未來的支付行為提供預測所必須的資料。另外，關於儲存的時間限制上，目前GDPR沒有明確的儲存時間上限，奧地利的個資相關的國內法也沒有明確的規定，因此必須個案的判斷儲存時間上線是否為必要。不過法院建立了一些標準，1.儲存時間愈久，該個資會變得與目的的關聯性降低，2.個資儲存時間需考量到該機構所適用的法規，如信用評分機構會適用，歐盟資本要求指令Regulation (EU) No 575/2013 (Capital Requirements Regulation)。根據此指令，信用機構有義務對其客戶進行不同的風險評價測試，因此需要至少5年以上的資料。該破產的紀錄、負債金額對於個人信用評分具有重大性，且該事件發生於2016年，因此具有保存之必要。

法院並認定該信用評分機構符合GDPR第6條（1）（f）之規定，第三人（信用機構以及銀行等）的利益大於個人的利益，因此雖然個人要求刪除，但是在進行信用風險控管需要此個資的利益大於個人的意願，此可以從歐盟資本要求指令的規範推導出來。

法院基於上述兩個原因肯認了信用評分機構的主張，駁回了個人要求刪除個資的主張。全案目前正在上訴中，法院將如何認定儲存時間以及財務相關的個人資料應該如何保存，也值得多多觀察。