Ochrana osobních údajů

Právo na výmaz osobních údajů

Právo na výmaz sice existovalo už před účinností GDPR, ale až po GDPR nastal skutečný „boom“ v jeho uplatňování. Ochrana soukromí nepochybně získává na důležitosti, a to především kvůli raketovému vzestupu aktivit v online prostoru a vývoji moderních technologií. Různé chytré online nástroje sice mohou ulehčovat každodenní život, k tomu však většinou potřebují i nezanedbatelné množství údajů. Žádosti o výmaz tak reflektují zvyšující se povědomí lidí o jejich právech v oblasti ochrany soukromí a fakt, že mnoho z nich nechce své údaje šířit bez kontroly „všude možně po světě“.

Základní atributy žádosti o výmaz

  • Právo na výmaz není absolutní. Přichází do úvahy pouze za podmínek stanovených v GDPR, které jsou popsané níže. Stručně řečeno, pokud máte legitimní důvody pro zpracování a uchování údajů, pak nemusíte mít povinnost údaje na základě žádosti smazat.

  • Správce (společnost, organizace), který údaje zveřejnil a dopadá na něj povinnost je vymazat, musí adekvátně informovat ostatní příjemce, jimž údaje poskytl, aby je rovněž vymazali, a to včetně všech kopií.

  • Správce nese, ostatně jako i u ostatních práv, odpovědnost za zajištění výmazu u svých zpracovatelů.

Kdy byste údaje měli smazat?

Dotčené osoby by zejména měly mít právo na to, aby jejich osobní údaje byly vymazány a nebyly dále zpracovávány, pokud:

  • údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,

  • osoby odvolaly svůj souhlas se zpracováním,

  • osoby vznesly námitku proti zpracování osobních údajů, které se jich týkají,

  • údaje byly zpracovány protiprávně,

  • údaje musí být vymazány ke splnění právní povinnosti stanovené v právu EU nebo členského státu, které se na správce vztahuje,

  • zpracování probíhá v souvislosti s nabídkou služeb informační společnosti adresovanou dítěti mladšímu 15 let.

Žádost o výmaz údajů (a tomu odpovídající právo na výmaz) ale není absolutní. To znamená, že k výmazu údajů nemusí dojít vždy. Pokud existují právními předpisy uznané důvody osobní údaje si ponechat, pak není povinnost je mazat.

Kdy osobní údaje nemusíte mazat?

Typickými případy, kdy právo na výmaz nemusí být realizováno, jsou:

  • osoba chce smazat data o dosud platné smlouvě/službě

  • žádost přichází v době, kdy probíhá nějaký spor, soudní nebo jiné řízení,

  • osoba chce smazat údaje, které správce potřebuje pro vedení účetnictví, daně apod.,

  • na uchování údajů dopadá zákonná povinnost archivace (např. legislativa týkající se boje proti praní špinavých peněz vyžaduje po bankách archivaci 10 let).

Vztah práva na výmaz a stanovení doby zpracování

Stanovení doby zpracování, respektive uchování osobních údajů má pro právo na výmaz zásadní význam. Každý správce údajů by si měl nastavit odpovídající „retenční“ doby, tj. doby uchování jednotlivých kategorií osobních údajů, které odpovídají účelům zpracování a dalším okolnostem, které s tím souvisí (např. právní povinnost některé údaje archivovat apod.). Tyto lhůty by správce měl jednoznačně stanovit v závazném interním předpisu(např. archivační a skartační řád).

Doba uchování údajů nastavená v souladu s právními předpisy a GDPR zásadně omezuje nutnost mazat údaje na základě jednotlivých žádostí. Jinými slovy, pokud máte perfektně propracovaný systém uchování a mazání údajů v nastavených retenčních dobách, bude nutnost mazat údaje na základě jednotlivých žádostí spíše výjimečná.

Jak postupovat, když dostaneme žádost o výmaz?

Pokud obdržíte žádost o výmaz doporučujeme zjistit nejprve následující okolnosti:

  • o jakého žadatele (dotčenou osobu) jde a v jakém je vztahu ke správci (zákazník, zaměstnanec apod.),

  • zda žadatel zakoupil nebo jinak využívá produkt, službu, účet nebo jiný obdobný vztah se správcem,

  • kdy byl vztah mezi správcem a žadatelem ukončen (pokud byl ukončen),

  • zda nadále existují mezi správcem a žadatelem nějaké závazky (ať už vzájemné, nebo jednostranné),

  • zda osobní údaje, které se nějak týkají žadatele, potřebuje správce pro účetnictví, daně a jiné obdobné legitimní důvody povolené právními předpisy,

  • jestli ve vztahu k osobním údajům žadatele neplatí právní povinnost tyto údaje (respektive dokumenty, které je obsahují) archivovat.

Primárním úkolem správce je dostatečně identifikovat žadatele. Bez dostatečného prokázání totožnosti nelze žádost přijmout, protože existuje riziko, že dojde k poskytnutí osobních údajů neoprávněné osobě. Správce nicméně není povinen aktivně usilovat o ověření totožnosti žadatele v případě, že žadatel není schopen poskytnout dostatečnou dokumentaci. V takovém případě je oprávněn řešení žádosti odmítnout.

Pokud je na základě výše uvedených zjištění zřejmé, že správce údaje potřebuje pro legitimní účely, informuje žadatele o těchto skutečnostech a o tom, že údaje nebudou vymazány. Pokud je to možné, sdělí žadateli zároveň i v jakých lhůtách budou údaje vymazány.

Pokud je žádost o výmaz oprávněná, správce dané údaje smaže (nenávratně), nebo anonymizuje. Anonymizací se přitom rozumí postup, kdy v žádném případě není technicky ani jinak možné anonymizovaná data propojit s konkrétní dotčenou osobou, tj. dotčená osoba již přestala být na základě anonymizovaných údajů identifikovatelnou.

Na závěr je nutné zopakovat, že právo na výmaz je sice významným právem, ale stejně jako ostatní práva není možné uplatňovat ho bezvýjimečně.