Právo na vymazanie podľa GDPR: nárok a termín implementácie

Natália Šimková

Právo na vymazanie podľa GDPR: základné pojmy a význam

Právo na vymazanie, známe aj ako „právo byť zabudnutý“, predstavuje jedno zo základných práv jednotlivcov podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679, teda GDPR. Ide o nástroj, ktorý umožňuje dotknutej osobe požadovať odstránenie jej osobných údajov v situáciách, keď ich správca už nepotrebuje na účely, na ktoré boli zhromaždené, alebo ich spracúva nezákonne. Takisto sa uplatňuje v prípadoch, keď osoba odvolala svoj súhlas so spracovaním, či keď namietala spracovanie na základe oprávneného záujmu a jej práva a slobody prevážili záujmy správcu. Hlavným cieľom tohto práva je zamedziť nadmernému a neprimerane dlhému uchovávaniu osobných údajov, minimalizovať riziká ich zneužitia a posilniť kontrolu jednotlivca nad jeho digitálnou stopou.

Kedy je uplatnenie práva na vymazanie efektívne: bežné situácie

  • Neaktuálnosť či nepotrebnosť údajov: osobné údaje už nie sú potrebné na účel, pre ktorý boli pôvodne zhromaždené, napríklad po zrušení užívateľského účtu, bez rozhodnutia o uchovávaní podľa právnych predpisov.
  • Odvolanie súhlasu so spracovaním: situácie typické pre marketingové a profilovacie aktivity, kde neexistuje iný právny základ pre spracovanie po odvolaní súhlasu.
  • Úspešná námietka voči spracovaniu: ak bola namietnutá spracovanie založené na oprávnenom záujme a tento námietok bol vyhodnotený ako oprávnený s ohľadom na prevažujúce práva a slobody jednotlivca.
  • Nezákonne vykonávané spracovanie osobných údajov: nelegitímne správanie, napríklad spracovanie bez primeraného právneho základu alebo porušenie zásady minimalizácie údajov.
  • Vymazanie vyplývajúce z právnej povinnosti: zákonom stanovené lehôt uchovávania, po ktorých je nutné údaje vymazat, napríklad podľa internej retenčnej politiky alebo špecifických sektorových predpisov.
  • Údaje detských používateľov v súvislosti so službami informačnej spoločnosti: zvýšená ochrana osobitne citlivých údajov získaných od dieťaťa.

Výnimky zo zákona pri práve na vymazanie

GDPR vyvažuje ochranu osobných údajov s ďalšími právami a verejnými záujmami. Preto môže správca spracúvania žiadosť odmietnuť, ak spracovanie údajov je nevyhnutné z dôvodov ako:

  • ochrana práva na slobodu prejavu a právo na informácie: napríklad v žurnalistike, umeleckom alebo akademickom kontexte, kde je dôležitá ochrana slobody vyjadrovania,
  • plnenie zákonných povinností: procesné a administratívne požiadavky definované právnym poriadkom alebo inými verejnými úlohami,
  • archivácia vo verejnom záujme, vedecký, historický výskum, štatistické spracovanie: za predpokladu implementácie správnych technických a organizačných opatrení, ako anonymizácia či pseudonymizácia,
  • preukazovanie, uplatňovanie alebo obrana právnych nárokov: napríklad správa súdnych spisov, reklamácií či iných právnych konaní,
  • dodržiavanie zákonom predpísaných retenčných lehôt: napríklad účtovné alebo daňové doklady, ktoré musia byť uchovávané podľa platnej legislatívy.

Rozlíšenie medzi vymazaním údajov a právom byť zabudnutý na internete

Je dôležité pochopiť rozdiel medzi samotným vymazaním údajov v systéme prevádzkovateľa a tzv. „právom byť zabudnutý“, ktoré sa často vníma ako odstránenie výsledkov vyhľadávania internetu (deindexácia). Podstata je nasledovná:

  • Vymazanie u správcu (napr. e-shop, online platforma): ide o úplné vymazanie osobných údajov zo všetkých interných prostredí vrátane produkčných, testovacích, analytických a zálohových systémov, spolu so zastavením ďalšieho spracúvania.
  • Vyhľadávače: po splnení podmienok môžu odstrániť odkazy na neaktuálny obsah z výsledkov vyhľadávania spojených s menom osoby, avšak pôvodný obsah na zdrojovom webe ostáva stále dostupný, pokiaľ ho správca nezmaže.

Lehoty na vybavenie žiadosti o vymazanie podľa GDPR

  • Základná lehota: správca je povinný odpovedať na žiadosť do 1 mesiaca od jej prijatia.
  • Predĺženie lehoty: v prípade vysokej zložitosti prípadu alebo veľkého počtu žiadostí môže byť lehota rozšírená o ďalšie maximálne 2 mesiace. O tomto predĺžení musí byť žiadateľ informovaný ešte počas prvého mesiaca spolu s uvedením dôvodov.
  • Potvrdenie o vykonaní: správca musí potvrdiť, či bolo požadované vymazanie vykonané, alebo informovať o dôvodoch, pre ktoré nemohol celej žiadosti vyhovieť, vrátane použitia výnimiek.
  • Notifikácia tretím stranám: ak boli osobné údaje predané alebo sprístupnené iným subjektom, správca by mal primerane informovať tieto subjekty, aby zabezpečili vymazanie údajov v ich prostredí.

Praktická skúsenosť: Menej zložité prípady, ako odhlásenie z marketingovej komunikácie alebo zmazanie účtu bez ďalších záväzkov, sú vybavené zvyčajne do niekoľkých dní. Naopak komplexnejšie prípady zahŕňajúce viaceré systémy, zálohy či prebiehajúce právne spory môžu trvať niekoľko týždňov a často si vyžiadajú predĺženie lehoty.

Rozsah vymazávania: čo sa má odstrániť a čo môže zostať

  • Vymazanie údajov: osobné údaje by mali byť odstránené zo všetkých aktívnych systémov, dátových skladov, testovacích a analytických prostredí, indexov a cache.
  • Zachovanie údajov: ponechávajú sa len tie informácie, ktoré sú nevyhnutné na plnenie zákonných povinností alebo na obhajobu právnych nárokov, napríklad minimálny auditný záznam potvrdzujúci vykonanie vymazania, bez uchovávania pôvodných osobných údajov, prípadne agregované anonymizované štatistiky.
  • Zálohy: štandardne sa aplikuje „logické vymazanie“, teda označenie údajov na vymazanie, ktoré zabraňuje ich obnove po zálohovaní, a fyzické odstránenie počas nasledujúcej rotácie záloh.

Overenie identity a bezpečnostné opatrenia pri žiadosti

Na účely prevencie neoprávneného vymazania musí správca vykonať primerané overenie totožnosti osoby, ktorá žiadosť zaslala. Medzi používané postupy patria:

  • overenie prostredníctvom prihláseného užívateľského konta alebo jednorazového overovacieho kódu,
  • kontrolné bezpečnostné otázky alebo doručenie dokladu s minimálnym rozsahom a zakrytými citlivými údajmi,
  • odmietnutie neopodstatnených požiadaviek napríklad na zaslanie kópií dokladov bez relevantného dôvodu.

Pokyny pre jednotlivcov: ako pripraviť účinnú žiadosť o vymazanie

  1. Identifikujte správcu: uveďte jeho názov, kontaktné údaje a ideálne kontaktnú osobu pre ochranu osobných údajov (DPO).
  2. Specifikujte údaje: jasne uveďte, ktoré údaje požadujete vymazať a z akého dôvodu (nepotrebnosť, odvolanie súhlasu, námietka proti spracovaniu, nezákonné spracovanie).
  3. Uveďte kanály a identifikátory: napríklad webový účet, mobilná aplikácia, newsletter, spolu s presnými identifikátormi ako e-mail, telefónne číslo či ID účtu.
  4. Požiadajte o informácie o príjemcoch údajov a vykonaných krokoch: aby ste vedeli, ktoré subjekty boli informované o vymazaní.
  5. Vyžiadanie potvrdenia: žiadajte o potvrdenie o vykonaní vymazania a zoznam údajov ponechaných na základe zákonných výnimiek.
  6. Preferencia komunikácie: uveďte preferovaný spôsob kontaktu (e-mail) a pripomeňte zákonnú lehotu na odpoveď.

Vzorový text žiadosti o vymazanie osobných údajov

Predmet: Žiadosť o vymazanie osobných údajov podľa GDPR

Vážený prevádzkovateľ,
žiadam o vymazanie mojich osobných údajov, ktoré spracúvate vo vašej organizácii. Právny základ žiadosti je: [nepotrebnosť údajov / odvolanie súhlasu / úspešná námietka / nezákonné spracúvanie].

Identifikátory: [e-mail, telefónne číslo, ID účtu]. Prosím o vymazanie údajov vo všetkých vašich systémoch vrátane analytických a testovacích prostredí. Zároveň žiadam informovanie všetkých príjemcov, ktorým boli údaje poskytnuté, aby zabezpečili ich vymazanie.

Žiadam potvrdenie o vykonaní vymazania najneskôr do 1 mesiaca od prijatia žiadosti a vysvetlenie dôvodov prípadného predĺženia lehoty.

S úctou,
[meno a priezvisko]

Príklady uplatnenia práva na vymazanie v rôznych oblastiach

  • E-shopy: ak nie sú otvorené reklamácie a uplynuli zákonné lehôt retenčného obdobia, bežné osobné údaje, marketingové preferencie či histórie prihlásení je možné vymazať, zatiaľ čo faktúry zostávajú uchovávané podľa zákona.
  • Sociálne siete: vymazanie užívateľského účtu a obsahu, pričom deindexácia vo vyhľadávačoch predstavuje samostatný proces.
  • Vzdelávacie inštitúcie: vymazanie študentských údajov po ukončení štúdia a uplynutí zákonom stanovených lehôt na archiváciu, pričom osobné údaje používané na školské výkazy zostávajú dostupné počas potrebnej doby.
  • Zdravotníctvo: odstránenie osobných údajov pacientov, ak už neexistuje právny dôvod na ich uchovávanie, pričom lekárske záznamy sa spravidla archivujú podľa špeciálnych pravidiel dlhodobo.
  • Marketingové spoločnosti: vymazanie kontaktných údajov zo zoznamov pre zasielanie ponúk po stiahnutí súhlasu alebo na základe námietok proti spracovaniu.
  • Poskytovatelia telekomunikačných služieb: vymazanie údajov o používateľoch po ukončení zmluvného vzťahu a uplynutí lehôt stanovených v zákone o elektronických komunikáciách.

Uplatnením práva na vymazanie podľa GDPR si jednotlivci môžu efektívne chrániť svoje osobné informácie a minimalizovať riziko ich zneužitia. Na strane správcov je nevyhnutné implementovať prehľadné procesy, ktoré zaručia dodržanie zákonných povinností a poskytnú dôveru dotknutým osobám.

Nezabúdajte, že právo na vymazanie nie je absolútne a môže byť obmedzené z dôvodov ochrany verejného záujmu, plnenia zákonných povinností alebo uplatnenia právnych nárokov. Preto je pri každej žiadosti potrebné starostlivo zvážiť všetky okolnosti a postupovať v súlade s GDPR.

Ďalšie články