Právo na výmaz osobných údajov podľa GDPR

Právo byť zabudnutý – význam a pôvod pojmu

„Právo byť zabudnutý“ predstavuje konkrétnu aplikáciu práva na výmaz osobných údajov podľa článku 17 nariadenia GDPR. Ide o možnosť jednotlivca požiadať prevádzkovateľa spracúvania o odstránenie osobných údajov, ak sú splnené zákonné podmienky. Tento inštitút sa realizuje hlavne v dvoch oblastiach: priamo voči poskytovateľom služieb, ktoré osobné údaje uchovávajú (napríklad sociálne siete, internetové obchody alebo diskusné fóra), a voči vyhľadávačom (ako je Google), kde ide o odstránenie odkazov vedúcich na obsah obsahujúci údaje (tzv. delisting), nie o výmaz samotného obsahu na zdroji.

Kedy možno uplatniť právo na výmaz osobných údajov

Typické prípady uplatnenia práva na výmaz

• Údaje už nie sú potrebné na pôvodný účel: Napríklad zmluva bola splnená alebo súťaž ukončená, pričom neexistuje iný platný dôvod na uchovávanie.
• Odvolanie súhlasu s ich spracúvaním: Ak bol právnym základom súhlas a ten je odvolaný, prevádzkovateľ musí údaje odstrániť, pokiaľ mu nevyplýva iný zákonný dôvod na ich spracovanie.
• Námietka proti spracúvaniu na základe oprávneného záujmu: Ak záujmy dotknutej osoby prevážia nad záujmami prevádzkovateľa, má právo žiadať výmaz.
• Nezákonné spracúvanie osobných údajov: Ak údaje boli získané, spracované alebo zverejnené v rozpore so zákonom, napríklad bez primeraného informovania alebo mimo deklarovaného účelu.
• Splnenie právnej povinnosti výmazu podľa iných predpisov: Napríklad pri údajoch o deťoch alebo špecifických kategóriách údajov, kde sú ustanovené osobitné pravidlá.
• Ochrana údajov detí v online službách: Pri spracúvaní osobných údajov detí sú podmienky uplatnenia práva na výmaz obzvlášť prísne a kladú dôraz na ochranu záujmov dieťaťa.

Obmedzenia práva na výmaz: kedy nie je možné žiadať výmaz

• Sloboda prejavu a verejný záujem na informáciách: Novinárske články, verejné archívy alebo záznamy s historickou hodnotou môžu prevážiť nad právom na výmaz.
• Právne povinnosti na uchovávanie údajov: Napríklad evidenčné náležitosti účtovníctva, daňové predpisy alebo sektorové regulácie často vyžadujú uchovávanie údajov po stanovenú dobu.
• Verejný záujem v oblasti výskumu, zdravia a archívnictva: Výmaz by nemal brániť legitímnemu vedeckému výskumu, štatistike či uchovávaniu archívnych záznamov.
• Potrebné informácie na obranu právnych nárokov: Prevádzkovateľ si môže ponechať minimálne množstvo údajov nevyhnutných na preukázanie, uplatnenie alebo obhajobu právnych nárokov.

Výmaz údajov vs. delisting vo vyhľadávačoch

Výmaz osobných údajov znamená ich úplné odstránenie z databáz, profilov alebo systémov prevádzkovateľa služby, kde boli pôvodne uložené.

Delisting je proces odstránenia odkazov na určité informácie z výsledkov vyhľadávania na základe konkrétnych dopytov, najmä pri vyhľadávaní mena dotknutej osoby. Sám o sebe neruší obsah na pôvodnom zdroji, ale výrazne znižuje jeho dostupnosť z hľadiska vyhľadávania.

Optimálny prístup predstavuje súbežné žiadosti o výmaz u zdroja a o delisting u vyhľadávačov.

Postup pri podaní žiadosti o výmaz osobných údajov

1. Identifikujte prevádzkovateľa: Nájdite sekciu venovanú ochrane osobných údajov na webstránke alebo kontakte na poverenú osobu (DPO).
2. Detailne špecifikujte údaje na výmaz: Uveďte presné URL, ID príspevkov, dátumy, screenshoty alebo identifikátory, aby ste uľahčili ich identifikáciu a odstránenie.
3. Uveďte právny dôvod výmazu: Napríklad odvolanie súhlasu, nepotrebnosť údajov, námietka voči spracúvaniu alebo nezákonné spracovanie.
4. Preukážte svoju totožnosť: Niektoré služby vyžadujú overenie identity – napríklad prostredníctvom prihlásenia, alebo bezpečného dokladu s minimalizovanými citlivými údajmi.
5. Požiadajte o vymazanie aj sekundárnych úložísk: Zahrňte žiadosť o odstránenie údajov z cache, testovacích kópií, CDN a odstránenie interných tagov.
6. Dodržiavanie lehoty na vybavenie: Prevádzkovateľ má spravidla 1 mesiac na vyhovenie žiadosti, s možnosťou predĺženia o ďalšie 2 mesiace v odôvodnených prípadoch.
7. Postup pri nevyhovení žiadosti: Kontaktujte dozorný orgán (na Slovensku Úrad na ochranu osobných údajov SR) alebo zvážte súdnu cestu.

Príklad štruktúry žiadosti o výmaz podľa GDPR

Predmet: Žiadosť o výmaz osobných údajov podľa čl. 17 GDPR

Obsah žiadosti: Identifikácia (meno, kontaktné údaje, používateľské meno alebo ID účtu), presný popis údajov a ich umiestnenia (napr. URL alebo ID), právny dôvod žiadosti (napríklad odvolanie súhlasu, neaktuálnosť, nezákonnosť spracovania). Zahrňte požiadavku na vymazanie všetkých kópií vrátane cache a verejne prístupných náhľadov. Uveďte žiadosť o spätnú väzbu o prijatých opatreniach vrátane dátumu a vlastnoručného podpisu. Priložte prípadné dôkazy o identite a vlastníctve profilu či obsahu.

Riešenie špeciálnych situácií

Spravodajské články a archívne záznamy

Pri hodnotení žiadostí na odstránenie spravodajských článkov je potrebné zvážiť pomer medzi právom na súkromie a slobodou prejavu, ako aj verejný záujem. Súkná osoba má väčšiu šancu na úspech v prípade, že je obsah neaktuálny, nepresný alebo neprimerane škodlivý. Pri verejných osobách je prah vyšší.

Blogy a diskusné fóra

Ak správca obsahu nereaguje na žiadosť o odstránenie obsahu, je vhodné obrátiť sa na poskytovateľa hostingu alebo využiť nahlasovacie mechanizmy platforiem pri porušení práv, napríklad pri uverejnení citlivých údajov.

Stránky typu „mugshot“ a databázy priestupkov

Výzvy na výmaz sú často sporné, keďže prevádzkovatelia argumentujú legitímnym záujmom. Úspech možno zvýšiť zdôraznením neaktuálnosti informácií, rehabilitácie dotknutej osoby či zmazaním údajov z príslušných verejných registrov.

Delisting vo vyhľadávačoch – podmienky efektívnosti

Delisting sa odporúča v prípadoch, keď je daný obsah na zdroji legálny, avšak jeho zobrazovanie pri vyhľadávaní mena osoby je neprimerané – či už pre neaktuálnosť, nepresnosť alebo prehnané rozšírenie. Žiadosti o delisting by mali obsahovať meno osoby, konkrétne URL a argumenty pre odstránenie zo zobrazenia. Po úspešnom delistingu sa odkazy prestanú zobrazovať pri vyhľadávaní mena v krajinách EHP, no môžu byť stále dostupné pri iných výrazoch či v iných regiónoch.

Technické aspekty výmazu a ochrany údajov

• Výmaz versus anonymizácia: V niektorých prípadoch postačuje nevratná anonymizácia, ktorá odstráni identifikátory a zabráni identifikácii osoby, ak je účel spracúvania možné splniť bez identifikovateľných údajov.
• Retenčné lehoty a zálohy: Prevádzkovatelia môžu uchovávať zálohy údajov po obmedzený čas, avšak musia zabrániť ich opätovnému nasadeniu do produkčného prostredia a mať stanovený čas skartácie.
• Cache a CDN služby: Pri žiadostiach o výmaz je vhodné požiadať o vymazanie alebo invalidáciu cache, náhľadov a dát na Content Delivery Network (CDN), ako aj informovať ďalšie služby, ktoré obsah indexujú.

Bežné chyby pri podávaní žiadostí o výmaz a ako sa im vyhnúť

• Nejasné a všeobecné požiadavky: Narážky ako „vymažte všetko o mne“ bez uvedenia konkrétnych URL, ID alebo kontextu sú nevykonateľné a často vedú k zamietnutiu.
• Nedostatočne stanovený právny dôvod: Žiadosť by mala obsahovať presnú citáciu ustanovení GDPR a jasné navedčenie okolností, ktoré oprávňujú na výmaz.
• Nedostatočné overenie totožnosti: Prevádzkovatelia odmietajú žiadosti bez primeraného preukázania identity, aby zabránili neoprávnenému výmazu (identity theft).
• Ignorovanie ustanovených výnimiek: Pri obsahu súvisiacom s verejným záujmom alebo novinárskych článkoch je potrebné dôsledne argumentovať a poukázať napríklad na neaktuálnosť alebo nepresnosť.

Práva po úspešnom vybavení žiadosti o výmaz

• Potvrdenie o vykonanom výmaze: Prevádzkovateľ by mal informovať, ktoré údaje a z akých systémov boli vymazané.
• Informovanie tretích strán: Ak boli osobné údaje poskytnuté ďalším príjemcom, prevádzkovateľ ich musí informovať o výmaze údajov, ak je to vykonateľné.
• Možnosť odvolania sa: V prípade nesúladu s vybavením môžete podať sťažnosť dozornému orgánu alebo sa obrátiť na súd.
• Pravidelné kontrolné mechanizmy: Je vhodné občas preveriť, či údaje neboli znovu zverejnené alebo zdieľané bez súhlasu.
• Zabezpečenie ďalšej ochrany osobných údajov: Naďalej sledujte nastavenia súkromia a oprávnenia v rámci používaných služieb, aby ste minimalizovali ďalšie spracovanie osobných údajov bez vášho súhlasu.

Právo na výmaz predstavuje dôležitý nástroj na ochranu osobných údajov v digitálnom priestore a umožňuje jednotlivcom uplatniť kontrolu nad svojimi osobnými informáciami. Aby bolo jeho uplatnenie účinné, je nevyhnutné, aby žiadosti boli presné, zdôvodnené a riadne overené. Prevádzkovatelia údajov na druhej strane musia zabezpečiť transparentnosť a promptné vybavenie žiadostí v súlade s GDPR. Len tak môže byť zabezpečená rovnováha medzi ochranou súkromia a legitimnými záujmami spracovateľov.