Právo na vymazanie

Posted on by Lucie Čermáková
Právo na vymazanie

Čo znamená právo na vymazanie a prečo existuje

Právo na vymazanie (často známe aj ako „právo byť zabudnutý“) je jedno zo základných práv dotknutej osoby podľa nariadenia GDPR. Umožňuje vám dosiahnuť odstránenie vašich osobných údajov vtedy, keď ich organizácia už nepotrebuje, spracúva ich nezákonne, spracúva ich na základe súhlasu, ktorý ste odvolali, alebo keď ste voči spracúvaniu úspešne namietali. Cieľom je obmedziť nadmerné a neprimerane dlhé „životy“ údajov, znížiť riziká zneužitia a posilniť kontrolu jednotlivca nad digitálnou stopou.

Kedy zvyčajne uspejete: typické situácie

  • Údaje už nie sú potrebné na účel, na ktorý sa zbierali (napr. zanikol účet, no organizácia stále drží nepoužívané údaje bez retenčného dôvodu).
  • Odvolali ste súhlas a neexistuje iný právny základ (typické pri marketingu, profilovaní či analytických súboroch údajov).
  • Úspešne ste namietali voči spracúvaniu založenému na oprávnenom záujme a prevážili vaše práva a slobody.
  • Spracúvanie je nezákonné (napr. spracovanie bez právneho základu, neprimerané sledovanie, porušenie zásady minimalizácie).
  • Vymazanie vyplýva z právnej povinnosti (napr. povinné mazanie údajov po uplynutí zákonnej lehoty držby podľa internej retenčnej tabuľky či špecifických predpisov).
  • Údaje boli získané v súvislosti so službami informačnej spoločnosti poskytnutými dieťaťu (zvýšená ochrana detských používateľov).

Kedy môžete naraziť na zákonné výnimky

GDPR vyvažuje právo na vymazanie s ďalšími verejnými a súkromnými záujmami. Organizácia môže žiadosť legitímne odmietnuť alebo obmedziť, ak je spracúvanie potrebné najmä na:

  • výkon práva na slobodu prejavu a informácií (napr. žurnalistika, umelecké či akademické vyjadrenie),
  • splnenie právnej povinnosti alebo úlohu vykonávanú vo verejnom záujme,
  • archiváciu vo verejnom záujme, vedecký či historický výskum, štatistické účely pri vhodných zárukách (napr. anonymizácia, pseudonymizácia),
  • preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov (napr. procesné spisy, prebiehajúce spory, reklamácie),
  • dodržanie povinných retenčných lehôt podľa osobitných zákonov (napr. účtovné doklady, daňové povinnosti).

Rozdiel: „vymazanie“ vs. „zabudnutie“ na internete

Vymazanie vnútri jedného systému je iné ako „právo byť zabudnutý“ v zmysle deindexácie vyhľadávačov. V praxi to znamená:

  • U prevádzkovateľov (e-shopy, aplikácie): odstránenie údajov alebo ich bezpečná anonymizácia vo všetkých prostrediach (produkcia, test, analytika, zálohy) s ukončením ďalšieho spracúvania.
  • U vyhľadávačov: odkaz na obsah môže byť po splnení podmienok odstránený z výsledkov vyhľadávania pre vaše meno, no pôvodný obsah na zdrojovej stránke môže zostať zachovaný.

Lehoty: ako dlho to trvá podľa GDPR a čo čakať v realite

  • Základná lehota na odpoveď je do 1 mesiaca od doručenia žiadosti.
  • Predĺženie je možné o ďalšie max. 2 mesiace pri zložitosti alebo množstve žiadostí. Prevádzkovateľ musí o predĺžení a dôvodoch informovať ešte v rámci prvého mesiaca.
  • Informovanie o vykonaní: prevádzkovateľ potvrdí vymazanie, prípadne uvedie, prečo nemohol plne vyhovieť a ktoré výnimky uplatnil.
  • Notifikácie tretím stranám: ak boli údaje sprístupnené príjemcom, prevádzkovateľ má primerane informovať aj ich, aby vymazanie zabezpečili, pokiaľ je to možné.

Praktická skúsenosť: jednoduché žiadosti (napr. odhlásenie marketingu a zmazanie účtu bez otvorených záväzkov) bývajú vybavené v priebehu dní. Komplexnejšie prípady (viac systémov, staré zálohy, prebiehajúce spory) trvajú týždne a často si vyžiadajú predĺženie lehoty.

Čo presne sa má vymazať a čo môže zostať

  • Vymazať: osobné údaje vo všetkých aktívnych systémoch, dátových skladoch, testovacích a analytických prostrediach, indexoch a vyrovnávacích pamätiach.
  • Ponechať možno len to, čo je nevyhnutné na splnenie právnych povinností alebo obhajobu nárokov (napr. minimálny auditný záznam o tom, že vymazanie prebehlo, bez uchovania pôvodných údajov; agregované anonymné štatistiky).
  • Zálohy: bežnou praxou je „logické vymazanie“ (označenie na vymazanie, aby sa po obnovách nevrátili) a fyzické odstránenie pri najbližšej pravidelnej rotácii záloh.

Identita a bezpečnosť: prečo vás žiadajú o overenie

Prevádzkovateľ musí „primerane“ overiť totožnosť žiadateľa, aby predišiel neoprávnenému vymazaniu. Očakávajte:

  • overenie cez prihlásený účet alebo jednorazový kód,
  • kontrolné otázky alebo predloženie minimálneho dokladu (zakryté citlivé časti),
  • odmietnutie neprimeraných požiadaviek na kopírovanie dokladov bez dôvodu.

Postup pre jednotlivca: ako podať účinnú žiadosť

  1. Identifikujte prevádzkovateľa (názov, kontakty, ideálne aj kontaktné miesto pre ochranu údajov/DPO).
  2. Uveďte, ktoré údaje sa majú vymazať a prečo (už nie sú potrebné, odvolávate súhlas, namietate oprávnený záujem, nesúlad so zákonom).
  3. Špecifikujte kanály (webový účet, mobilná aplikácia, newsletter, partnerské programy) a identifikátory (e-mail, telefón, ID účtu, referenčné čísla objednávok).
  4. Požiadajte o informovanie o príjemcoch, ktorým boli údaje poskytnuté, a o krokoch na zabezpečenie vymazania u nich.
  5. Vyžiadajte potvrdenie o vykonaní vymazania a stručnú evidenciu právne ponechaných údajov (ak existujú).
  6. Uveďte preferenciu pre kontakt (e-mail) a pripomeňte zákonnú lehotu na odpoveď.

Vzorový text žiadosti (stručný)

Predmet: Žiadosť o vymazanie osobných údajov podľa GDPR

Vážený prevádzkovateľ, žiadam o vymazanie mojich osobných údajov spracúvaných vašou organizáciou. Právny základ: [nepotrebnosť údajov / odvolanie súhlasu / úspešná námietka / nezákonné spracúvanie].

Identifikátory: [e-mail, tel. číslo, ID účtu]. Prosím o vymazanie vo všetkých systémoch vrátane analytických a testovacích, a o informovanie príjemcov, ktorým boli údaje sprístupnené. Žiadam potvrdenie o vykonaní najneskôr do 1 mesiaca a uvedenie dôvodov, ak bude potrebné lehotu predĺžiť.

S úctou, [meno a priezvisko]

Špecifiká podľa kontextu: príklady z praxe

  • E-shop: ak nemáte otvorené reklamácie a uplynuli retenčné lehoty, bežné profilové údaje, marketingové preferencie a históriu prihlásení možno zmazať; faktúry môžu zostať uchované podľa zákona po zákonom stanovenej dobu.
  • Sociálna sieť: vymazanie účtu a obsahu; deindexácia výsledkov vo vyhľadávači je samostatný proces.
  • Bankovníctvo/poisťovníctvo: silné regulačné retenčné povinnosti; časté „obmedzenie spracúvania“ namiesto okamžitého vymazania.
  • Zamestnanie: osobné spisy, mzdové účtovníctvo a povinné záznamy majú pevné lehoty; nepotrebné kópie e-mailov či testov prístupu možno zmazať skôr.
  • Zdravotníctvo: zdravotná dokumentácia podlieha osobitným predpisom a často sa nevymazáva, ale chráni.

Backupy, logy a technické detaily vymazania

  • Logy: ak sú potrebné na bezpečnosť a audit, ponechávajú sa len v nevyhnutnom rozsahu a s kratšou retenčnou lehotou; citlivé polia sa pseudonymizujú alebo maskujú.
  • Test/QA prostredia: používať anonymizované dáta; po žiadosti o vymazanie je nutná synchronizácia s produkciou.
  • ML/AI modely: tréningové dáta obsahujúce osobné údaje sa buď odstránia a model sa re-trénuje, alebo sa preukáže, že model neumožňuje reidentifikáciu. Agregované váhy bez väzby na jednotlivca sa spravidla nepovažujú za osobné údaje, no riziká memorovania treba posúdiť.
  • Zálohy: uplatňuje sa politika „neobnovovať vymazané“ a fyzické zmazanie pri najbližšom cykle rotácie; tieto postupy majú byť zdokumentované.

Čo má obsahovať odpoveď prevádzkovateľa

  • potvrdenie o vymazaní a dátum vykonania,
  • informovanie o príjemcoch, ktorým bola táto informácia o vymazaní oznámená,
  • odôvodnenie prípadných zákonných výnimiek a presný zoznam údajov, ktoré musia zostať,
  • informáciu o vašich možnostiach podať sťažnosť dozornému orgánu alebo domáhať sa nápravy súdnou cestou.

Ak organizácia nereaguje alebo odmietne

  1. Pripomienka: slušne pripomeňte plynutie 1-mesačnej lehoty a opýtajte sa na stav.
  2. Sťažnosť: obráťte sa na príslušný dozorný orgán (v SR Úrad na ochranu osobných údajov). Uveďte kópiu žiadosti, odpovede a dátumy.
  3. Súdna ochrana: ak zásah pretrváva alebo je škoda významná, vyhľadajte právnu pomoc.

Najčastejšie chyby pri žiadostiach

  • nešpecifikovanie účtov alebo identifikátorov, ktoré organizácia používa,
  • požiadavka na vymazanie údajov, ktoré musí organizácia držať zo zákona,
  • nepochopenie rozdielu medzi vymazaním u prevádzkovateľa a odstránením výsledkov z vyhľadávačov,
  • ignorovanie faktu, že údaje mohli byť zdieľané s partnermi – treba výslovne požiadať o informovanie príjemcov.

Odporúčania pre organizácie: ako byť „compliant“ a féroví

  • Retenčná politika a tabuľky lehôt držby podľa účelov a kategórií údajov.
  • Automatizované pracovné toky na vymazanie (vrátane analytiky a testu) a privacy-by-design v systémoch.
  • Protokolácia vymazaní (bez ponechania pôvodných osobných údajov) na účely auditu.
  • Školenia a jasné pokyny pre customer support, aby vedeli spracovať žiadosti v termínoch.
  • Vendor management: zmluvné záväzky sprostredkovateľov mazať údaje bezodkladne a informovať o ich zmazaní.

FAQ: rýchle odpovede na časté otázky

  • Môžu si ponechať „dôkaz o vymazaní“? Áno, ale len minimálne údaje bez možnosti spätnej identifikácie (napr. interné ID, dátum vymazania).
  • Čo ak mám otvorenú reklamáciu/ spor? Údaje potrebné na obhajobu/ vybavenie sa nevymažú okamžite; ostatné áno.
  • Musí sa mazať aj e-mailová história? Ak obsahuje osobné údaje, treba posúdiť účel a retenčné lehoty; nadbytočné kópie zmazať.
  • A čo cookies a marketingové identifikátory? Odvolanie súhlasu má viesť k odstráneniu alebo deaktivácii identifikátorov a zastaveniu profilovania.
  • Dokáže organizácia „zabudnúť“ úplne všetko? Úplné odstránenie zo všetkých médií nie je vždy technicky okamžité; kľúčové je zastaviť spracúvanie, vymazať aktívne kópie a zabezpečiť, že sa neobnovia zo záloh.

Praktická kontrolná karta pre jednotlivca

  • Identifikoval som presne, čo a kde chcem zmazať?
  • Uviedol som všetky identifikátory (e-mail, tel., ID účtu)?
  • Zdokumentoval som dátum žiadosti a odpovede?
  • Požiadal som o informovanie príjemcov údajov?
  • Rozumiem, ktoré údaje musia zostať z dôvodu zákonných lehôt?

Zhrnutie

Na vymazanie máte nárok najmä vtedy, ak účel zanikol, odvolali ste súhlas, úspešne ste namietali alebo je spracúvanie nezákonné. Prevádzkovateľ musí reagovať do 1 mesiaca, s možnosťou predĺženia o 2 mesiace pri zložitosti. Očakávajte primerané overenie totožnosti, potvrdenie o vykonaní, informovanie príjemcov a jasné zdôvodnenie prípadných výnimiek. Dobrá príprava žiadosti a znalosť limitov (retencie, zákonné výnimky, zálohy) výrazne zvyšujú šancu na rýchly a úspešný výsledok.

Related Posts

potravinové míle

Potravinové míle a ich vplyv na ekonomiku životného prostredia Potravinové míle sú koncept, ktorý predstavuje vzdialenosť, ktorú potraviny musia precestovať od ich výrobcov po cestu […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *