Právo na vymazanie podľa GDPR: kedy a ako ho uplatniť

Význam práva na vymazanie v rámci GDPR

Právo na vymazanie, často označované aj ako „právo byť zabudnutý“, predstavuje jedno z hlavných práv dotknutej osoby podľa nariadenia GDPR. Toto právo umožňuje jednotlivcom požadovať odstránenie ich osobných údajov zo systémov organizácií v prípadoch, keď už nie sú potrebné na pôvodný účel spracúvania, spracúvanie prebieha nezákonne, súhlas bol odvolaný, alebo boli úspešne vznesené námietky voči spracúvaniu. Cieľom je minimalizovať nadmerné uchovávanie údajov, predchádzať ich zneužitiu a zároveň posilniť kontrolu jednotlivca nad jeho digitálnou identitou.

Kedy je žiadosť o vymazanie oprávnená

Typické situácie, v ktorých môžete uspieť

• Nemožnosť ďalšieho využitia údajov – údaje už neslúžia pôvodnému účelu, napríklad po zániku účtu zostávajú nevyužívané údaje bez právneho dôvodu na ich uchovávanie.
• Odvolanie súhlasu – ak ste stiahli súhlas so spracúvaním osobných údajov a neexistuje iný právny základ, napríklad v oblasti marketingu alebo profilovania.
• Úspešná námietka voči spracúvaniu na základe oprávneného záujmu, ak vaše práva a slobody prevážia záujmy prevádzkovateľa.
• Nezákonné spracúvanie údajov, napríklad spracúvanie bez právneho základu alebo porušenie zásady minimalizácie údajov.
• Vymazanie podľa zákonnej povinnosti – napríklad po uplynutí zákonnej doby uchovávania podľa firemných retenčných noriem alebo legislatívnych predpisov.
• Osobitná ochrana údajov detí v kontexte informačných spoločností, kde sa vyžaduje špecifický prístup pri údajoch získaných pri poskytovaní služieb deťom.

Obmedzenia práva na vymazanie a zákonné výnimky

GDPR stanovuje rovnováhu medzi právom na vymazanie a inými verejnými alebo súkromnými záujmami. Žiadosť o vymazanie môže byť oprávnene odmietnutá v prípadoch, keď je spracúvanie nevyhnutné najmä na:

• Výkon práva na slobodu prejavu a informácií – vrátane žurnalistiky, umeleckej činnosti či akademického výskumu.
• Plnenie právnej povinnosti alebo úlohy vo verejnom záujme.
• Archiváciu, vedecký, historický výskum a štatistické účely v prípade primeraných ochranných opatrení, ako sú anonymizácia či pseudonymizácia.
• Uplatňovanie a obhajovanie právnych nárokov, napríklad v súdnych spisoch alebo reklamáciách.
• Dodržiavanie povinných retenčných lehôt stanovených osobitnými právnymi predpismi, napríklad v oblasti účtovníctva či daní.

Rozdiel medzi vymazaním údajov a „právom byť zabudnutý“ na internete

Vymazanie údajov v rámci jednej organizácie sa líši od konceptu „práva byť zabudnutý“ v kontexte portálov vyhľadávačov. Presnejšie:

• Prevádzkovatelia služieb (napr. e-shopy, online aplikácie) musia zabezpečiť kompletné odstránenie alebo bezpečnú anonymizáciu osobných údajov vo všetkých systémoch, vrátane produkčného, testovacieho či analytického prostredia, ako aj v zálohách.
• Vyhľadávače môžu na základe žiadosti deindexovať výsledky vyhľadávania zobrazené pre meno alebo iný identifikátor, avšak pôvodný obsah zostáva dostupný na zdrojovej webovej stránke, pokiaľ ju prevádzkovateľ neodstráni.

Lehoty na vybavenie žiadosti podľa GDPR a praktické skúsenosti

• Stanovená lehota na odpoveď je maximálne 1 mesiac od doručenia žiadosti o vymazanie.
• Možnosť predĺženia o ďalšie maximálne 2 mesiace pri neštandardnej zložitosti alebo väčšom počte žiadostí. O predĺžení musí byť dotknutý subjekt informovaný počas prvého mesiaca spolu s odôvodnením.
• Potvrdenie o vykonaní vymazania – organizácia má povinnosť informovať žiadateľa o realizácii alebo o dôvodoch nevyhovenia a aplikovaných výnimkách.
• Notifikácia príjemcom údajov, ak boli osobné údaje zdieľané s tretími stranami, aby zabezpečili ich vymazanie.

Praktické skúsenosti ukazujú, že jednoduché žiadosti, napríklad vymazanie marketingových údajov alebo zrušenie účtu bez otvorených sporov, bývajú vybavené v priebehu niekoľkých dní. Komplexnejšie prípady zahŕňajúce viacero systémov, záloh a sporov môžu vyžadovať niekoľkotýždňovú lehotu a časté predĺženie doby spracovania.

Rozsah vymazania osobných údajov

• Úplné vymazanie zahŕňa osobné údaje vo všetkých aktívnych systémoch, dátových skladoch, testovacích a analytických prostrediach, indexoch a cache vrstve.
• Údaje ponechané môžu byť len tie, ktoré sú nevyhnutné na splnenie zákonných povinností alebo na obhajobu právnych nárokov, napríklad minimálny záznam o vymazaní bez uchovávania pôvodných osobných údajov či anonymizované agregované štatistiky.
• Zaobchádzanie so zálohami zahŕňa tzv. „logické vymazanie“ (označenie údajov na vymazanie, ktoré zabraňuje ich obnove pri reštartovaní systému) a následné fyzické odstránenie pri nadchádzajúcej rotácii záloh.

Overovanie totožnosti žiadateľa a bezpečnostné opatrenia

Prevádzkovatelia sú povinní primerane overiť totožnosť osoby, ktorá žiada o vymazanie osobných údajov, aby zabránili neoprávnenému zásahu do údajov. Bežne sa realizuje:

• overením prostredníctvom prihláseného používateľského konta alebo zaslaním jednorazového bezpečnostného kódu,
• kladením kontrolných otázok alebo požadovaním minimálneho dokladu totožnosti so zakrytím citlivých údajov,
• zamietnutím neprimeraných požiadaviek na zasielanie kópií dokladov bez adekvátneho odôvodnenia.

Postup podania žiadosti o vymazanie osobných údajov

1. Identifikujte prevádzkovateľa – uveďte presný názov, kontaktné údaje a ideálne aj kontaktné miesto pre ochranu údajov alebo DPO.
2. Presne špecifikujte údaje, ktoré chcete vymazať, a dôvod, napríklad už neexistujúci účel, odvolaný súhlas alebo nezákonné spracovanie.
3. Uveďte identifikátory a kanály, napríklad e-mail, telefón, ID účtu, pričom špecifikujte, či ide o webový účet, mobilnú aplikáciu, newsletter či iné platformy.
4. Požiadajte o informovanie o príjemcoch, ktorým boli údaje zverejnené, vrátane krokov na zabezpečenie ich vymazania u týchto príjemcov.
5. Žiadajte potvrdenie o vykonaní vymazania a prehľad údajov, ktoré musia zostať v súlade so zákonom.
6. Uveďte preferovaný spôsob komunikácie, napríklad e-mail, a pripomeňte zákonnú lehotu na vybavenie žiadosti.

Vzorový text žiadosti na vymazanie podľa GDPR

Predmet: Žiadosť o vymazanie osobných údajov podľa GDPR

Vážený prevádzkovateľ,
žiadam o vymazanie všetkých mojich osobných údajov, ktoré sú spracúvané vašou organizáciou. Právny základ mojej žiadosti je: [uveďte, či ide o nepotrebnosť údajov, odvolanie súhlasu, úspešnú námietku alebo nezákonné spracovanie].

Identifikátory používané na záznamy: [e-mail, telefónne číslo, ID účtu]. Prosím o vymazanie zo všetkých systémov vrátane produkčných, analytických a testovacích prostredí a o informovanie všetkých príjemcov, ktorým boli moje údaje sprístupnené, so zabezpečením ich vymazania.

Žiadam o potvrdenie vykonania vymazania najneskôr do jedného mesiaca od doručenia tejto žiadosti. V prípade predĺženia lehôt ma, prosím, ihneď informujte spolu s dôvodmi.

S pozdravom,
[Vaše meno a priezvisko]

Príklady podľa rôznych kontextov spracúvania

• E-shop: Po uplynutí zákonných retenčných lehôt a bez otvorených reklamácií je možné vymazať profilové údaje, marketingové preferencie a históriu prihlásení; fakturačná dokumentácia však zostáva podľa zákona.
• Sociálne siete: Vymazanie účtu a všetkého obsahu, pričom deindexácia z vyhľadávačov je samostatný proces vyžadujúci ďalšiu žiadosť.
• Bankovníctvo a poisťovníctvo: Silné regulačné pravidlá, ktoré často vedú k obmedzeniu spracúvania namiesto okamžitého vymazania.
• Zamestnanie: Osobné spisy a mzdové doklady sa uchovávajú podľa zákonných lehôt; nepotrebné emaily alebo neopodstatnené testy prístupov možno zmazať predčasne.
• Zdravotníctvo: Osobitná legislatíva často vylučuje vymazanie, namiesto toho sa kladie dôraz na adekvátnu ochranu zdravotnej dokumentácie.

Technické aspekty vymazania: backupy, logy a umelá inteligencia

V oblasti technických aspektov vymazania je dôležité venovať pozornosť správe záloh, logov a systémov využívajúcich umelú inteligenciu. Tieto komponenty často ukladajú kópie osobných údajov, ktoré nie je možné okamžite fyzicky odstrániť bez ohrozenia funkčnosti alebo integrity systému. Preto sa používa prístup logického vymazania alebo označenia údajov za neaktívne, ktoré zamedzujú ich ďalšiemu spracovaniu a prístupu, pričom fyzické vymazanie prebieha pri plánovanej rotácii alebo mazacích operáciách.

Implementácia účinných procesov na vymazanie osobných údajov podľa GDPR vyžaduje koordináciu medzi právnym tímom, IT oddelením a zodpovednými osobami za ochranu údajov. Transparentnosť a dôsledné informovanie dotknutých osôb zvyšujú dôveru a zabezpečujú súlad s legislatívou.

V konečnom dôsledku je právo na vymazanie kľúčovým nástrojom pre ochranu súkromia jednotlivcov, ktorý umožňuje kontrolu nad osobnými údajmi v digitálnom svete. Prevádzkovatelia by mali byť pripravení žiadosti o vymazanie promptne a efektívne riešiť, aby naplnili zákonné požiadavky a zároveň udržali dobré vzťahy so svojimi zákazníkmi či používateľmi.