Právo na vymazanie podľa GDPR: kedy ho možno uplatniť a ako dlho to trvá

Význam práva na vymazanie podľa GDPR a jeho uplatnenie v praxi

Právo na vymazanie, často označované ako „právo byť zabudnutý“, predstavuje jedno z významných práv dotknutej osoby podľa Všeobecného nariadenia o ochrane osobných údajov (GDPR), konkrétne ustanovené v článku 17. Toto právo umožňuje jednotlivcom požiadať správcu údajov o bezodkladné vymazanie ich osobných údajov v prípade, že nastanú stanovené okolnosti. Je však dôležité zdôrazniť, že nejde o nevyhnutne absolútne právo – pri jeho realizácii sa vyvažujú záujmy ochrany súkromia so zásadami slobody prejavu, úradnej povinnosti či iných zákonných požiadaviek.

Situácie, v ktorých je pravdepodobné úspešné uplatnenie práva na vymazanie

• Údaje nie sú potrebné na pôvodný účel ich spracovania – napríklad pri zrušení zákazníckeho účtu, ak nie sú otvorené finančné záväzky a neexistujú zákonné povinnosti uchovávania týchto údajov.
• Odvolanie súhlasu so spracovaním osobných údajov – pokiaľ je spracovanie založené výhradne na súhlase a neexistuje žiadny iný právny základ relevantný pre pokračovanie spracovania.
• Námietka voči spracovaniu na základe oprávneného záujmu – ak nie sú preukázané prevažujúce legitímne záujmy správcu, ktoré by oprávňovali pokračovanie v spracovaní.
• Nezákonné spracovanie osobných údajov – napríklad neprimeraný zber údajov, alebo spracovanie bez právneho základu.
• Vymazanie na základe zákonných požiadaviek – ak sú predpísané konkrétne právne normy vyžadujúce odstránenie údajov po splnení určených lehôt.
• Osobitná ochrana údajov detí – pri získavaní údajov dieťaťa v oblasti poskytovania online služieb informačnej spoločnosti.

Prípady, kedy môže správca žiadosť o vymazanie odmietnuť alebo obmedziť

• Zachovanie slobody prejavu a práva na informácie – ak by vymazanie údajov neprimerane narušilo právo na slobodu prejavu alebo právo na informácie.
• Záväzok plnenia zákonných požiadaviek – napríklad oblasť účtovníctva, daňových povinností a iných právnych archívnych lehôt.
• Presadzovanie verejného záujmu – ako sú požiadavky v oblasti verejného zdravia, regulácie či dohľadu.
• Archívne, vedecké alebo štatistické účely – keď by vymazanie údajov ohrozilo realizáciu týchto cieľov, pričom sú implementované primerané ochranné opatrenia.
• Uplatnenie alebo obrana právnych nárokov – osobné údaje potrebné v kontexte súdnych sporov, reklamácií alebo iných právnych procesov.

Lehoty pri spracovaní žiadosti o vymazanie osobných údajov

• Odpoveď správcu – správca musí vyhovieť alebo primerane odmietnuť žiadosť bez zbytočného odkladu, najneskôr však do 1 mesiaca od jej doručenia.
• Možné predĺženie lehoty – vo výnimočných prípadoch možno lehodu predĺžiť o ďalšie dva mesiace, pričom správca je povinný oznámiť dôvody takéhoto predĺženia do uplynutia základnej lehoty.
• Bezplatnosť žiadosti – podanie žiadosti by vo väčšine prípadov malo byť bezplatné; poplatok je prípustný len pri neopodstatnene častom alebo nadmernom počte žiadostí.
• Technické aspekty vymazania – vymazanie údajov z aktívnych systémov je zvyčajne promptné, no údaje uchovávané v zálohách môžu byť odstránené až počas pravidelných cyklov zálohovania alebo obnovy. Správca musí tieto procesy transparentne objasniť.

Postup pri podávaní žiadosti o vymazanie údajov: efektívne a zdvorilé kroky

1. Identifikácia správcu osobných údajov – vyhľadajte údaje kontaktnej osoby pre ochranu údajov (DPO) alebo oficiálny kanál určený na uplatnenie práv (často sekcia „Ochrana údajov“ na webovej stránke).
2. Určenie rozsahu žiadosti – jasne definujte, ktoré údaje chcete vymazať, napríklad účet, elektronická adresa, telefónne číslo či profily využívané na marketing.
3. Odôvodnenie žiadosti – uveďte právny základ, napríklad „odvolávam súhlas so spracovaním“ alebo „namietam spracúvanie na základe oprávneného záujmu“.
4. Overenie totožnosti – preukážte svoju identitu primeraným spôsobom, ideálne spôsobom, ktorý nevyžaduje nadmerné poskytnutie osobných dokladov.
5. Žiadosť o potvrdenie – požiadajte o potvrdenie vykonania vymazania vrátane informácie o tom, ktoré údaje boli vymazané a ktoré musia byť ponechané na základe zákonných požiadaviek.
6. Archivácia komunikácie – uchovajte si všetky dokumenty a komunikáciu vrátane časových pečiatok, ktoré môžu byť užitočné v prípade potreby ďalšieho postupu.

Vzor žiadosti o vymazanie osobných údajov podľa GDPR

Subjekt: Žiadosť o vymazanie osobných údajov podľa článku 17 GDPR

Vážený tím pre ochranu údajov,
týmto uplatňujem svoje právo na vymazanie osobných údajov podľa článku 17 GDPR v nasledujúcom rozsahu: [uveďte konkrétny účet alebo identifikátory].
Dôvod podania žiadosti: [napr. odvolanie súhlasu / údaje už nie sú potrebné / námietka proti spracúvaniu].
Žiadam o potvrdenie vymazania a o informáciu, ktoré údaje boli odstránené, a ktoré musia zostať uchovávané zo zákonných dôvodov, vrátane ich doby uchovávania.
Na overenie mojej totožnosti prikladám: [napr. email z registrovanej adresy].
Ďakujem za vyhovenie mojej žiadosti a očakávam Vašu odpoveď do jedného mesiaca.

Špecifiká vymazania osobných údajov na internete: vyhľadávače, platformy a technické dočasné uloženia

• Vyhľadávače – je možné žiadať o odstránenie odkazov z výsledkov vyhľadávania (tzv. de-indexáciu) pri splnení podmienok proporcionality, najmä ak ide o staré, nepresné alebo neželané informácie ovplyvňujúce súkromie.
• Online platformy a sociálne siete – okrem samotného vymazania obsahu odporúčame žiadať i odstránenie súvisiacich metadát a profilovacích údajov naviazaných na daný obsah.
• Cache a CDN (Content Delivery Network) – vymazanie z cache medziskladov môže trvať určitý čas; je vhodné žiadať informácie o štandardných časoch propagácie vymazania.

Postupy a povinnosti organizácie pri spracovaní žiadosti o vymazanie

1. Prierez overovaním totožnosti – minimalizovať zhromažďovanie údajov potrebných na overenie úmyslu bez neopodstatneného zdroja osobných dokumentov.
2. Právna analýza – posúdiť právny základ spracovania, identifikovať možné výnimky a dokumentovať prijaté rozhodnutie.
3. Vyhľadávanie údajov v systémoch – zahrnúť všetky databázy, logy, analytické nástroje, marketingové platformy a sprostredkovateľov.
4. Vymazanie alebo anonymizácia údajov – zabezpečiť nevratné odstránenie s auditnou stopou o splnení požiadavky.
5. Informovanie tretích strán – ak došlo k zdieľaniu údajov, informovať príjemcov o povinnosti vymazania poskytovaných údajov.
6. Transparentná odpoveď voči žiadateľovi – oznámiť vykonaný rozsah vymazania, dôvody vynechania dát a poučiť o dostupných opravách a sťažnostiach, vrátane lehôt.

Rozdiely medzi vymazaním, anonymizáciou a blokovaním osobných údajov

• Vymazanie – úplné odstránenie údajov s nemožnosťou ich štandardného obnovenia.
• Anonymizácia – premena údajov na taký stav, že už nie sú osobne identifikovateľné a nemožno ich spätne prepojiť na konkrétnu osobu.
• Blokovanie alebo obmedzenie spracovania – dočasné zastavenie spracovania údajov, často v situáciách sporov, pričom údaje zostávajú uložené, ale nie spracovávané (podľa článku 18 GDPR).

Možnosti uplatnenia práv v oblasti marketingu, profilácie a tretích strán

Ak je problémom nevyžiadaný marketing alebo profilácia, okrem práva na vymazanie môžete uplatniť aj ďalšie práva, ako sú odhlásenie z marketingových newsletterov, odvolanie súhlasu s používaním cookies alebo námietka proti profilácii. Správca by mal zabezpečiť, aby jeho sprostredkovatelia (napríklad nástroje pre email marketing, CRM systémy alebo analytické platformy) tiež odstránili príslušné údaje, a túto skutočnosť potvrdiť v odpovedi žiadateľovi.

Oblasti s náročnejšou implementáciou a nastavenie realistických očakávaní

• Zálohovanie údajov – historické zálohy nie je možné jednoducho okamžite prepisovať, avšak správca nesmie obnovovať vymazané údaje do aktívnych systémov mimo riešenia konkrétnych incidentov.
• Systémy na spracovanie veľkého množstva dát – v týchto prípadoch môžu byť potrebné rozšírené procesy na vyhľadávanie a úplné vymazanie údajov, čo môže predĺžiť lehotu spracovania žiadosti.
• Technické obmedzenia – niektoré technológie alebo platformy nedovoľujú okamžité alebo úplné vymazanie, preto je potrebné informovať žiadateľa o reálnom časovom rámci a možných kompromisoch.
• Právne výnimky – zákonné povinnosti ukladania údajov, napríklad daňové alebo účtovné predpisy, môžu obmedziť rozsah vymazania, pričom tieto okolnosti musí organizácia jasne komunikovať.

V závere je dôležité zdôrazniť, že právo na vymazanie podľa GDPR nie je absolútne a musí byť vždy vyvážené s ostatnými právami a zákonnými povinnosťami spracovateľa. Kvalitná komunikácia medzi žiadateľom a správcom, transparentnosť, ako aj správne nastavené interné procesy výrazne prispievajú k efektívnemu a zákonnému vykonaniu tohto práva.

Pri uplatňovaní práva na vymazanie odporúčame dôsledne sledovať platnú legislatívu, prípadne konzultovať postup s odborníkom na ochranu osobných údajov, aby sa predišlo možným komplikáciám a sankciám.