Lehota na Výmaz Osobných Údajov Podľa GDPR: Právo na Zabudnutie a Jeho Praktické Aspekty

Ochrana osobných údajov je v digitálnom veku kritická. Nariadenie GDPR (General Data Protection Regulation) prinieslo revolúciu v prístupe k spracovaniu osobných údajov, pričom jedným z kľúčových práv dotknutých osôb je právo na výmaz, často označované aj ako "právo na zabudnutie". Tento článok sa zaoberá lehotami na výmaz osobných údajov podľa GDPR, praktickými aspektmi, ktoré s tým súvisia, a povinnosťami prevádzkovateľov.

Úvod do Problematiky Výmazu Osobných Údajov

GDPR vyžaduje od spoločností, aby k spracovávaniu osobných údajov pristupovali systematicky. Naplánovaný musí byť v podstate celý proces až po likvidáciu, či vymazanie osobných údajov. Jednou zo základných zásad spracúvania osobných údajov je podľa GDPR zásada minimalizácie uchovávania osobných údajov. Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Cieľom tejto zásady je zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné. S týmto účelom by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Ak účely spracovania osobných údajov pominuli, osobné údaje je nutné vymazať, s výnimkou riadne odôvodnených prípadov.

Právo na Výmaz Osobných Údajov ("Právo na Zabudnutie")

Právo na vymazanie osobných údajov je jednou z výrazných súčastí GDPR. Dotknutá osoba má za presne určených podmienok právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje. Okrem iného môže byť firma povinná zmazať údaje napríklad aj preto, že dotknutá osoba odvolala súhlas so spracovaním osobných údajov a uplatnila si právo na výmaz.

Podmienky pre Uplatnenie Práva na Výmaz

Dotknutá osoba má právo na výmaz svojich osobných údajov, ak platí jeden z nasledujúcich dôvodov:

1. Osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali.
2. Dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, a ak neexistuje iný právny základ pre spracúvanie.
3. Dotknutá osoba namieta voči spracúvaniu a neprevažujú žiadne oprávnené dôvody na spracúvanie, alebo dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu.
4. Osobné údaje sa spracúvali nezákonne.
5. Osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha.
6. Osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti deťom.

Povinnosti Prevádzkovateľa pri Výmaze

Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich vymazať, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.

Prečítajte si tiež: Všetko o lehote pred odchodom do dôchodku

Doba Uchovávania Osobných Údajov a Jej Stanovenie

Jednou z povinností Nariadenia GDPR je stanovenie doby uchovávania spracúvaných osobných údajov a ich vymazanie po uplynutí tejto "lehoty". Doba uchovávania a vymazania osobných údajov úzko súvisí s plnením informačnej povinnosti. Jednou z obligatórnych náležitostí, ktoré má obsahovať informačná povinnosť (alebo aj "privacy policy"), je aj informácia o dobe uchovávania spracúvaných osobných údajov. Prostredníctvom tejto informácie sa dotknuté osoby dozvedia, ako dlho budú ich osobné údaje spracúvané. Informovanie o dobe uchovávania slúži aj na zabezpečenie spravodlivého a transparentného spracúvania osobných údajov. Dĺžku doby uchovávania určuje prevádzkovateľ v zmysle zásady minimalizácie uchovávania.

Ako Stanoviť Dobu Uchovávania

Prevádzkovateľ by mal pre každý jednotlivý účel určiť dĺžku spracúvania osobných údajov. Dĺžka doby uchovávania je praktickým vyjadrením zásady minimalizácie uchovávania osobných údajov. Cieľom tejto zásady je dosiahnuť to, aby prevádzkovateľ spracúval osobné údaje dotknutých osôb len po dobu, ktorá je nevyhnutne potrebná na dosiahnutie konkrétne stanoveného účelu spracúvania.

Dobu uchovávania alebo spôsob jej určenia odporúčame evidovať v zázname o spracovateľských činnostiach pri každom účely spracúvania individuálne. Uvedené platí najmä na orgány verejnej moci, ktoré sú vo väčšine prípadov povinné prijať registratúrne plány.

Dobu uchovávania je možné stanoviť:

• ako konkrétna lehota - napr. 5 rokov,
• ak ide o zákonom stanovenú lehotu,
• ako mechanizmus na jej určenie - použije sa v prípade, ak prevádzkovateľ vzhľadom na špecifické okolnosti nevie presne vymedziť lehotu.

Príklady Doby Uchovávania pre Rôzne Účely

• Kamerové systémy: V zmysle odporúčania EDPB je potrebné stanoviť dobu uchovávania s prihliadnutím na konkrétny účel tak, aby spravidla nepresahovala 5 dní. Všeobecne odporúčanou dobou je 72 hodín odo dňa vyhotovenia kamerového záznamu. Výnimku môžu predstavovať špecifické prípady, napr. vystrihnutá časť z kamerového záznamu slúžiaca ako dôkazný prostriedok je príslušným orgánom činnom v trestnom konaní alebo súdom po jeho poskytnutí uchovávaná počas nevyhnutne potrebnej doby.
• Účtovníctvo a obchodná agenda: Lehota uchovávania osobných údajov je 10 rokov.
• Personálna a mzdová agenda: Lehotou uchovávania osobných údajov v osobnom spise zamestnanca je obdobie ohraničené prípravou pracovnoprávneho vzťahu a dovŕšením 70. roku života zamestnanca (aj bývalého).
• Evidencia a kontrola jednorazového vstupu: Lehota uchovávania osobných údajov je 1 rok.

Praktické Aspekty Výmazu Osobných Údajov

Problematika vymazania osobných údajov nie je jednoduchá, a preto je potrebné mať nastavený mechanizmus uchovávania dokumentov obsahujúcich osobné údaje a lehoty, po ktorých uplynutí uskutočnia výmaz a likvidáciu osobných údajov. Vzhľadom na to, že spoločnosti majú podľa GDPR možnosť spracovávať údaje len v nevyhnutnom rozsahu a v nevyhnutnom čase, spoločnosti si musia nastaviť lehoty uchovávania a poučiť o nich jednotlivé oprávnené osoby. Zároveň je dôležité nastaviť režim likvidácie osobných údajov.

Prečítajte si tiež: Ako vybaviť Vdovský Dôchodok?

Mapovanie Osobných Údajov

Ak chceme vedieť, či účel spracovania osobných údajov uplynul, musíme najprv začať tým, že budeme mať presne zmapované, kde a aké osobné údaje spracúvame. Ideálne je vykonať "inventúru" všetkých systémov a osobných údajov v nich. Odporúčame vykonať podrobné členenie pre systémy, účely, kategórie osobných údajov a typy vzťahov dotknutej osoby. Takéto zmapovanie je možné spracovať do prehľadnej tabuľky, ideálne aj s vymedzením osôb zodpovedných za jednotlivé systémy. Z tohto prehľadu potom lepšie uvidíte, kde sa vám totožné dotknuté osoby prelínajú (kde spracúvate tie isté hodnoty osobných údajov či ich kategórie) a kde spracúvate údaje pre jednotlivé účely. Všetko bude závisieť od komplexnosti informačných systémov a databáz, ktoré sa na ich pozadí vytvárajú. Následne do takto vykonaného mapovania zapíšete rozhodnutie prevádzkovateľa o dobe uchovávania (spracovania) osobných údajov pre jednotlivé účely alebo dielčie agendy. K rozhodnutiu o dobe uchovávania odporúčame uviesť aj stručné odôvodnenie.

Osobné Údaje v Rôznych Systémoch a Účeloch

Osobné údaje o rovnakých dotknutých osobách môžeme mať uložené v rôznych informačných systémoch. Obvykle bývajú informačné systémy rozdelené aj podľa účelov, pre ktoré sa v nich dané osobné údaje spracúvajú. Aj samotná dotknutá osoba môže byť v postavení viacerých typov vzťahov u jedného prevádzkovateľa. Môže byť zamestnanec, súčasne klient či zákazník, účastník súdneho sporu, podávateľ podnetu a pod. Prevádzkovateľ je povinný pre každý jednotlivý účel určiť dĺžku spracúvania osobných údajov.

Čo Znamená "Vymazať" Osobné Údaje?

"Vymazať" osobné údaje neznamená len ich odstránenie z aktívnej databázy. Znamená to zabezpečiť, že údaje sú nenávratne odstránené zo všetkých systémov, záloh a archívov, kde sa mohli nachádzať. Je potrebné zvážiť aj fyzickú likvidáciu dokumentov, ktoré obsahujú osobné údaje.

Výnimky z Práva na Výmaz

GDPR stanovuje výnimky, kedy prevádzkovateľ nie je povinný vyhovieť žiadosti o výmaz. Ide o prípady, keď je spracúvanie nevyhnutné:

• na uplatnenie práva na slobodu prejavu a na informácie,
• na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
• z dôvodov verejného záujmu v oblasti verejného zdravia,
• na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely,
• na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Práva Dotknutej Osoby a Povinnosti Prevádzkovateľa

S uplatnením práva na výmaz úzko súvisí povinnosť prevádzkovateľa uložená článkom 12 ods. 3 Nariadenia GDPR poskytnúť dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe jej žiadosti, a to bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti.

Prečítajte si tiež: Ako dlho trvá priznanie invalidného dôchodku?

Ďalšie Práva Dotknutej Osoby

• Právo na prístup: Dotknutá osoba má právo získať potvrdenie o tom, či sa spracúvajú jej osobné údaje, a ak áno, má právo na prístup k týmto údajom a informáciám o spracúvaní.
• Právo na opravu: Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú.
• Právo na obmedzenie spracúvania: Dotknutá osoba má právo dosiahnuť obmedzenie spracúvania v určitých prípadoch, napríklad ak namieta správnosť osobných údajov.
• Právo na prenosnosť údajov: Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi.
• Právo namietať: Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré je vykonávané na základe oprávneného záujmu prevádzkovateľa.
• Právo podať sťažnosť: Dozorným orgánom, ktorému dotknutá osoba v odôvodnených prípadoch svoju sťažnosť adresuje, sa rozumie Úrad na ochranu osobných údajov Slovenskej republiky.
• Právo odvolať súhlas: V prípade, ak právnym základom spracúvania osobných údajov je súhlas dotknutej osoby, dotknutá osoba je oprávnená kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním.

Povinnosti Prevádzkovateľa

• Informovanie o spracúvaní: Prevádzkovateľ je povinný transparentne informovať dotknuté osoby o spôsobe, rozsahu a účele spracúvania ich osobných údajov.
• Zabezpečenie bezpečnosti údajov: Prevádzkovateľ je povinný prijať primerané technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov pred neoprávneným prístupom, zmenou, zničením alebo stratou.
• Reagovanie na žiadosti dotknutých osôb: Prevádzkovateľ je povinný bez zbytočného odkladu reagovať na žiadosti dotknutých osôb týkajúce sa ich práv, vrátane práva na výmaz.

Praktické Príklady z Praxe

• E-shopy: Často robia chyby e-shopy, keď neprimerane dlho ukladajú osobné údaje z databáz.
• Mzdy a personalistika: V praxi je najviac problematickým uchovávanie osobných údajov pri účeloch spracúvania v rámci mzdy a personalistiky. Túto situáciu spôsobuje potreba uchovávania určitých dokumentov a informácií o zamestnancoch až do 70 rokov veku zamestnanca. Týka sa to údajov potrebných pre výpočet dôchodku.
• Kamerové systémy: U nás sa kontrola Úradu na ochranu osobných údajov venuje podrobne monitorovaniu kamerovým systémom.
• Nerešpektovanie práva na výmaz: Nerešpektovanie práva na výmaz je výrazným zásahom do práva na ochranu osobných údajov a zároveň častým dôvodom ukladania pokút zo strany Úradu na ochranu osobných údajov. Vo svojom nedávnom rozhodnutí Úrad uložil prevádzkovateľovi - obchodu so športovými potrebami - pokutu vo výške 400 EUR za porušenie článku 12 ods. Porušenie ochrany osobných údajov spočívalo v tom, že prevádzkovateľ napriek uplatnenému právu na výmaz naďalej zasielal navrhovateľke nevyžiadané SMS správy.

Vplyv na Marketingovú Činnosť Spoločností

Newsletter je v pravidelných intervaloch, spravidla na týždennej báze, zasielaný odberateľom, ktorí s jeho zasielaním udelili súhlas. Hlavným účelom newsletteru, ktorý využívajú predovšetkým e-shopy, je udržať pravidelný kontakt so zákazníkmi, informovať ich o zľavách, sezónnych výpredajoch, propagovať nové produkty a predovšetkým prilákať zákazníkov na webovú stránku e-shopu. Ak dotknutá osoba uplatní právo na výmaz, je potrebné ju bezodkladne odstrániť z databázy odberateľov newslettera.

Čo si Zapamätať pri Výmaze Osobných Údajov

• Je potrebné, aby spoločnosti mali nastavený mechanizmus uchovávania dokumentov obsahujúcich osobné údaje a mali nastavené lehoty, po ktorých uplynutí uskutočnia výmaz a likvidáciu osobných údajov.
• Zmapujte si všetky systémy a osobné údaje v nich.
• Stanovte lehoty uchovávania pre jednotlivé účely spracúvania.
• Reagujte na žiadosti dotknutých osôb bez zbytočného odkladu.
• Zabezpečte, že vymazané údaje sú nenávratne odstránené zo všetkých systémov.
• Poučte jednotlivé oprávnené osoby o lehotách uchovávania a režime likvidácie osobných údajov.

tags: #lehota #na #vymaz #osobných #údajov #podľa