Čo znamená právo na vymazanie („právo byť zabudnutý“)?

Právo na vymazanie, známe aj ako „právo byť zabudnutý“, je jedným z hlavných pilierov ochrany osobných údajov podľa nariadenia GDPR (General Data Protection Regulation). Znamená, že jednotlivec má právo požiadať o vymazanie svojich osobných údajov, ak nie sú naďalej potrebné pre účely, na ktoré boli zhromaždené, alebo ak už nie je právny dôvod na ich spracovanie.

Toto právo je osobitne dôležité v digitálnom veku, kde sa osobné informácie môžu rýchlo šíriť na internete a ostať verejne dostupné dlhé roky. Právo byť zabudnutý poskytuje jednotlivcom moc kontrolovať svoju digitálnu stopu a chrániť si súkromie. Avšak, hoci ide o silné právo, nie je absolútne – existujú výnimky, ktoré zohľadňujú napríklad slobodu prejavu, verejný záujem alebo právne povinnosti viesť určitú evidenciu.

V tomto článku sa podrobne pozrieme na to, čo právo na vymazanie znamená, ako funguje v praxi, kedy ho možno uplatniť a kedy nie. Tiež sa budeme venovať tomu, ako podať žiadosť o vymazanie údajov, čo robiť, ak prevádzkovateľ údajov nevyhovie žiadosti, a aké sankcie hrozia v prípade porušenia tohto práva.

Čo je právo na vymazanie a aký je jeho právny základ?

Právo na vymazanie je definované v článku 17 nariadenia GDPR a poskytuje jednotlivcom možnosť požiadať prevádzkovateľa (napríklad firmu alebo organizáciu), aby vymazal ich osobné údaje bez zbytočného odkladu, ak existujú určité dôvody. Toto právo rozširuje kontrolu jednotlivca nad vlastnými údajmi a zabezpečuje ich ochranu pred neoprávneným alebo nadmerným spracovaním.

Právne dôvody pre uplatnenie práva na vymazanie zahŕňajú:

• Údaje už nie sú potrebné na účely, pre ktoré boli zhromaždené alebo spracované.
• Jednotlivec odvolá súhlas, na základe ktorého boli údaje spracované, a neexistuje žiadny iný právny dôvod na spracovanie.
• Jednotlivec namieta proti spracovaniu a neprevažujú oprávnené dôvody na spracovanie.
• Údaje boli spracúvané nezákonne.
• Údaje musia byť vymazané z dôvodu splnenia zákonnej povinnosti podľa práva Únie alebo členského štátu.
• Údaje boli zhromaždené v súvislosti s ponukou služieb informačnej spoločnosti deťom.

Kedy sa právo na vymazanie neuplatňuje?

Právo byť zabudnutý nie je absolútne. Existujú situácie, v ktorých má prevádzkovateľ legitímny dôvod uchovávať osobné údaje, aj keď jednotlivca požiadal o ich vymazanie.

Výnimky, kedy sa právo na vymazanie neuplatňuje:

• Ak je spracovanie potrebné na uplatnenie práva na slobodu prejavu a informácie.
• Ak je spracovanie potrebné na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa.
• Ak je spracovanie potrebné z dôvodov verejného záujmu v oblasti verejného zdravia.
• Ak je spracovanie potrebné na účely archivácie vo verejnom záujme, vedeckého alebo historického výskumu či štatistické účely a vymazanie by znemožnilo dosiahnuť tieto účely.
• Ak je spracovanie potrebné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Prevádzkovateľ preto musí pred vymazaním osobných údajov posudzovať, či neexistujú protichodné záujmy alebo povinnosti.

Aké kroky podniknúť na uplatnenie práva byť zabudnutý?

Jednotlivec, ktorý chce uplatniť svoje právo na vymazanie, musí kontaktovať prevádzkovateľa, ktorý jeho údaje spracúva. Môže to byť firma, webová stránka, sociálna sieť alebo iná organizácia.

Odporúčané kroky pri uplatňovaní práva:

1. Identifikovať, ktoré údaje chce jednotlivec vymazať.
2. Spísať žiadosť o vymazanie údajov – najlepšie písomne alebo prostredníctvom zabezpečeného komunikačného kanála.
3. Uviesť dôvod žiadosti – napr. úmysel odvolania súhlasu alebo zánik účelu spracovania.
4. Žiadosť adresovať priamo prevádzkovateľovi údajov, prípadne zodpovednej osobe pre ochranu osobných údajov.
5. Uchovať potvrdenie o odoslaní žiadosti ako dôkaz.

Po doručení žiadosti má prevádzkovateľ povinnosť odpovedať bez zbytočného odkladu, najneskôr do jedného mesiaca odo dňa prijatia žiadosti. V niektorých prípadoch môže predĺžiť odpoveď o ďalšie dva mesiace, o čom však musí žiadateľa informovať.

Čo ak prevádzkovateľ nevyhovie žiadosti o vymazanie údajov?

Ak prevádzkovateľ odmietne vyhovieť žiadosti o vymazanie údajov alebo na ňu vôbec nereaguje, má jednotlivec niekoľko možností na ďalší postup.

Možnosti ochrany práv:

• Obrátiť sa na zodpovednú osobu pre ochranu údajov v rámci organizácie s požiadavkou o prešetrenie.
• Podať sťažnosť na Úrad na ochranu osobných údajov Slovenskej republiky.
• Domáhať sa svojho práva súdnou cestou a žiadať o nápravu, prípadne o náhradu škody, ak došlo k poškodeniu.

Orgány pre ochranu údajov majú právomoc nariadiť prevádzkovateľom vymazanie údajov a udeliť sankcie vrátane pokút.

Praktické príklady použitia práva byť zabudnutý

Aby sme ilustrovali účinnosť tohto práva, pozrime sa na niekoľko reálnych alebo typických prípadov.

Príklad 1: Odstránenie z výsledkov vyhľadávania

Jednotlivec zistí, že jeho meno sa objavuje vo výsledkoch vyhľadávania v súvislosti so starším negatívnym článkom. Požiada prevádzkovateľa vyhľadávača (napr. Google) o odstránenie tohto výsledku. Ak obsah už nie je relevantný alebo verejne významný, je možné jeho odstránenie.

Príklad 2: Vymazanie zákazníckeho účtu

Osoba prestane využívať službu e-shopu a požiada o vymazanie svojho účtu. Prevádzkovateľ musí účet vymazať, pokiaľ nie je povinný uchovávať údaje napr. na účely účtovníctva.

Príklad 3: Proces výberu na pracovné miesto

Kandidát, ktorý neuspel vo výberovom konaní, môže požiadať o vymazanie svojich údajov po ukončení procesu. Zamestnávateľ ich musí odstrániť, ak neexistuje preukázateľný dôvod na ich ďalšie uchovávanie.

Aké sú povinnosti prevádzkovateľov údajov?

Prevádzkovatelia musia byť schopní reagovať na žiadosti o vymazanie v súlade s GDPR. To znamená nielen zabezpečiť fyzické vymazanie údajov, ale aj dodržiavať dokumentačné a procesné povinnosti.

Kľúčové opatrenia, ktoré prevádzkovatelia musia dodržiavať:

• Spravovať interné procesy a politiky pre identifikáciu a spracovanie žiadostí o vymazanie.
• Vyhodnocovať opodstatnenosť žiadostí a evidovať ich vybavenie.
• Informovať príjemcov údajov, ak boli osobné údaje ďalej zdieľané, o nutnosti ich vymazania.
• Vybudovať transparentnú komunikačnú platformu pre dotknuté osoby (napr. online formulár, e-mailová adresa).

Prevádzkovatelia, ktorí nedodržiavajú túto povinnosť, riskujú vysoké sankcie – pokuty až do výšky 20 miliónov eur alebo 4 % z celosvetového ročného obratu spoločnosti.

Záver: Význam práva byť zabudnutý v digitálnej dobe

Právo na vymazanie poskytuje jednotlivcom kontrolu nad ich osobnými údajmi v online priestore a chráni ich súkromie v prostredí, kde je digitálna stopa ťažko vymazateľná. Právom byť zabudnutý sa vytvára rovnováha medzi ochranou osobných údajov a inými základnými právami, ako sú sloboda prejavu a právo na informácie.

Je dôležité, aby si jednotlivci uvedomovali svoje práva, presne vedeli, ako ich uplatniť a zároveň chápali, že v určitých prípadoch nemusí byť žiadosti o vymazanie vyhovené. Prevádzkovatelia by mali pripraviť vhodné procesy a proaktívne pristupovať k ochrane dát ako súčasti dôveryhodného vzťahu so svojimi klientmi a používateľmi.