Postup pri výmaze osobných údajov podľa GDPR a slovenského zákona

Ochrana osobných údajov je v súčasnosti kľúčovou témou. V Európskej únii a teda aj na Slovensku, je táto oblasť regulovaná Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679, známym ako GDPR, a zákonom č. 18/2018 Z. z. o ochrane osobných údajov. Jedným z dôležitých práv, ktoré tieto predpisy dotknutým osobám poskytujú, je právo na výmaz osobných údajov, často označované aj ako „právo na zabudnutie“. Tento článok sa zaoberá postupom pri výmaze osobných údajov, právami dotknutých osôb a povinnosťami prevádzkovateľov v zmysle platnej legislatívy.

Právny rámec ochrany osobných údajov

Ochranu osobných údajov na Slovensku upravuje:

• Nariadenie GDPR: Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).
• Zákon č. 18/2018 Z. z.: Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Tieto právne predpisy stanovujú pravidlá pre spracúvanie osobných údajov, práva dotknutých osôb a povinnosti prevádzkovateľov a sprostredkovateľov.

Základné pojmy

• Osobné údaje: Akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.
• Dotknutá osoba: Fyzická osoba, ktorej sa osobné údaje týkajú.
• Prevádzkovateľ: Fyzická alebo právnická osoba, ktorá sama alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov.
• Sprostredkovateľ: Fyzická alebo právnická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa.
• Spracúvanie osobných údajov: Operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prispôsobenie alebo pozmeňovanie, vyhľadávanie, nahliadanie, používanie, poskytovanie prenosom, šírením alebo iným spôsobom, zosúlaďovanie alebo kombinovanie, obmedzenie, vymazanie alebo zničenie.

Práva dotknutej osoby v oblasti osobných údajov

GDPR a zákon č. 18/2018 Z. z. priznávajú dotknutým osobám rozsiahle práva, medzi ktoré patria:

• Právo na prístup k osobným údajom: Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak áno, má právo na prístup k týmto údajom a na informácie o spracúvaní.
• Právo na opravu osobných údajov: Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú.
• Právo na výmaz osobných údajov (právo na zabudnutie): Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, ak sú splnené určité podmienky.
• Právo na obmedzenie spracúvania osobných údajov: Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie jej osobných údajov, ak sú splnené určité podmienky.
• Právo na prenosnosť osobných údajov: Dotknutá osoba má právo získať osobné údaje, ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a právo preniesť tieto údaje inému prevádzkovateľovi.
• Právo namietať spracúvanie osobných údajov: Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodov týkajúcich sa jej konkrétnej situácie.
• Právo na odvolanie súhlasu: Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, má táto osoba právo kedykoľvek svoj súhlas odvolať.

Právo na výmaz osobných údajov ("právo na zabudnutie")

Právo na výmaz osobných údajov, známe aj ako "právo na zabudnutie", je zakotvené v článku 17 GDPR a § 23 zákona č. 18/2018 Z. z. Toto právo umožňuje dotknutej osobe požiadať prevádzkovateľa o vymazanie jej osobných údajov za určitých okolností.

Prečítajte si tiež: Ako požiadať o vymazanie údajov

Dôvody pre výmaz osobných údajov

Dotknutá osoba má právo na výmaz osobných údajov, ak platí jeden z nasledujúcich dôvodov:

• Osobné údaje už nie sú potrebné na účel, na ktorý sa získavali alebo inak spracúvali: Napríklad, ak zákazník ukončil zmluvu so spoločnosťou a jeho údaje už nie sú potrebné na fakturáciu alebo poskytovanie služieb.
• Dotknutá osoba odvolá súhlas so spracúvaním osobných údajov a neexistuje iný právny základ pre spracúvanie: Ak spoločnosť spracúvala údaje na základe súhlasu (napríklad na marketingové účely) a dotknutá osoba tento súhlas odvolá, spoločnosť je povinná údaje vymazať, ak nemá iný právny dôvod na ich spracúvanie.
• Dotknutá osoba namieta spracúvanie osobných údajov a neprevažujú žiadne oprávnené dôvody na spracúvanie: Ak spoločnosť spracúva údaje na základe oprávneného záujmu (napríklad na ochranu pred podvodmi) a dotknutá osoba namieta proti tomuto spracúvaniu, spoločnosť je povinná údaje vymazať, ak nepreukáže, že jej oprávnené záujmy prevažujú nad záujmami dotknutej osoby.
• Osobné údaje sa spracúvali nezákonne: Napríklad, ak spoločnosť získala údaje bez právneho základu alebo ich spracúvala v rozpore so zásadami GDPR.
• Osobné údaje musia byť vymazané na splnenie zákonnej povinnosti: Napríklad, ak zákon vyžaduje, aby spoločnosť vymazala určité údaje po uplynutí určitej doby.
• Osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti dieťaťu: Ak spoločnosť získala údaje od dieťaťa bez súhlasu rodičov alebo zákonných zástupcov.

Výnimky z práva na výmaz

Právo na výmaz nie je absolútne a existujú výnimky, kedy prevádzkovateľ nie je povinný osobné údaje vymazať. Medzi tieto výnimky patria prípady, keď je spracúvanie potrebné:

• Na uplatnenie práva na slobodu prejavu a na informácie.
• Na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha.
• Z dôvodov verejného záujmu v oblasti verejného zdravia.
• Na účel archivácie vo verejnom záujme, na vedecký účel, na účel historického výskumu alebo na štatistický účel.
• Na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Postup pri uplatnení práva na výmaz

1. Žiadosť o výmaz: Dotknutá osoba uplatní svoje právo na výmaz osobných údajov tým, že podá žiadosť prevádzkovateľovi, ktorý jej osobné údaje spracúva. Žiadosť by mala byť jednoznačná a obsahovať informácie, ktoré umožnia prevádzkovateľovi identifikovať dotknutú osobu a jej osobné údaje.
2. Posúdenie žiadosti: Prevádzkovateľ je povinný bez zbytočného odkladu posúdiť žiadosť a zistiť, či sú splnené podmienky pre výmaz osobných údajov.
3. Výmaz osobných údajov: Ak sú splnené podmienky pre výmaz, prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje dotknutej osoby.
4. Informovanie dotknutej osoby: Prevádzkovateľ je povinný informovať dotknutú osobu o vykonaní výmazu osobných údajov.
5. Informovanie príjemcov: Ak prevádzkovateľ poskytol osobné údaje dotknutej osoby tretím stranám, je povinný informovať tieto tretie strany o výmaze osobných údajov, pokiaľ to nie je nemožné alebo si to nevyžaduje neprimerané úsilie.

Povinnosti prevádzkovateľa

Prevádzkovateľ je povinný:

• Zabezpečiť mechanizmus na uplatnenie práva na výmaz: Prevádzkovateľ by mal mať zavedený postup, ktorý umožní dotknutým osobám jednoducho a efektívne uplatniť svoje právo na výmaz osobných údajov.
• Posúdiť žiadosť o výmaz bez zbytočného odkladu: Prevádzkovateľ by mal posúdiť žiadosť o výmaz v čo najkratšom čase a informovať dotknutú osobu o výsledku posúdenia.
• Vymazať osobné údaje bez zbytočného odkladu: Ak sú splnené podmienky pre výmaz, prevádzkovateľ je povinný vymazať osobné údaje v čo najkratšom čase.
• Informovať dotknutú osobu o výmaze: Prevádzkovateľ je povinný informovať dotknutú osobu o vykonaní výmazu osobných údajov.
• Informovať príjemcov o výmaze: Ak prevádzkovateľ poskytol osobné údaje tretím stranám, je povinný informovať tieto tretie strany o výmaze osobných údajov.
• Zaviesť primerané technické a organizačné opatrenia: Prevádzkovateľ je povinný zaviesť primerané technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov, vrátane opatrení na zabezpečenie ich výmazu.
• Uchovávať záznamy o spracovateľských činnostiach: Prevádzkovateľ je povinný uchovávať záznamy o spracovateľských činnostiach, vrátane informácií o výmaze osobných údajov.
• Nastaviť lehoty uchovávania a likvidácie osobných údajov: Spoločnosti si musia nastaviť lehoty uchovávania a poučiť o nich jednotlivé oprávnené osoby. Zároveň je dôležité nastaviť režim likvidácie osobných údajov.
• Minimalizovať uchovávanie osobných údajov: Prevádzkovateľ sa riadi zásadou minimalizácie uchovávania osobných údajov. Osobné údaje, ktoré nepodliehajú archivácii podľa osobitných právnych predpisov, budú vymazané alebo anonymizované.

Praktické aspekty výmazu osobných údajov

Pri implementácii práva na výmaz osobných údajov je potrebné zohľadniť niekoľko praktických aspektov:

• Identifikácia osobných údajov: Prevádzkovateľ musí mať systém na identifikáciu osobných údajov dotknutej osoby v rámci svojich systémov a databáz.
• Technické možnosti výmazu: Prevádzkovateľ musí mať technické prostriedky na efektívne a bezpečné vymazanie osobných údajov. Výmaz by mal byť trvalý a nezvratný.
• Zálohovanie a archivácia: Prevádzkovateľ musí zohľadniť politiky zálohovania a archivácie dát. V niektorých prípadoch môže byť potrebné vymazať osobné údaje aj zo záložných kópií.
• Automatizácia procesov: Pre efektívne riadenie výmazu osobných údajov je vhodné automatizovať procesy, napríklad pomocou softvérových nástrojov.

Príklad postupu pri výmaze osobných údajov v spoločnosti RAPOOL SLOVAKIA, s.r.o.

Spoločnosť RAPOOL SLOVAKIA, s.r.o. so sídlom v Piešťanoch prijala primerané technické a organizačné opatrenia na zaistenie ochrany práv dotknutých osôb pri spracúvaní osobných údajov. Spoločnosť spracúva osobné údaje v súlade s GDPR a zákonom o ochrane osobných údajov.

Prečítajte si tiež: Právo na výmaz podľa GDPR

Účely spracúvania osobných údajov:

• Plnenie zmluvných povinností (predaj a distribúcia tovarov a služieb, obstarávanie, logistika, správa a analýza zákazníkov).
• Plnenie zákonných povinností (daňové predpisy, zdravotné a sociálne poistenie, zákon o ochrane pred legalizáciou príjmov z trestnej činnosti).
• Ochrana oprávnených záujmov (konzultácia s úverovými registrami, reklama a marketing, riadenie obchodu, ochrana pred protizákonným konaním).
• Na základe súhlasu dotknutej osoby (napríklad zasielanie newsletteru).

Zoznam spracúvaných osobných údajov:

• Údaje potrebné pre realizáciu objednávky (meno a priezvisko, adresa, e-mail, telefónne číslo).
• Fakturačné údaje (meno a priezvisko, adresa, číslo účtu).
• Kontaktné údaje pre doručovanie zásielky (meno a priezvisko, adresa, telefónne číslo, e-mail).

Doba spracúvania a uchovávania osobných údajov:

Spoločnosť RAPOOL SLOVAKIA, s.r.o. uchováva osobné údaje po dobu stanovenú príslušnými právnymi predpismi. V každom prípade sa riadi zásadou minimalizácie uchovávania osobných údajov.

Výmaz osobných údajov:

Spoločnosť zabezpečí výmaz osobných údajov bez zbytočného odkladu po tom, ako:

• Boli ukončené všetky zmluvné vzťahy medzi dotknutou osobou a spoločnosťou.
• Zanikli všetky záväzky dotknutej osoby voči spoločnosti.
• Boli vybavené všetky reklamácie a žiadosti.
• Boli vysporiadané všetky ďalšie práva a povinnosti medzi dotknutou osobou a spoločnosťou.
• Boli naplnené všetky účely spracúvania stanovené právnymi predpismi alebo účely spracúvania, na ktoré dotknutá osoba udelila súhlas.
• Uplynula lehota, na ktorý bol súhlas udelený alebo dotknutá osoba svoj súhlas odvolala.
• Bolo vyhovené žiadosti dotknutej osoby o výmaz osobných údajov a bol naplnený niektorý z dôvodov odôvodňujúcich vyhovenie tejto žiadosti.
• Nastala rozhodná právna skutočnosť pre skončenie účelu spracúvania a zároveň uplynula aj ochranná retenčná lehota vymedzená s ohľadom na princíp minimalizácie doby uchovávania osobných údajov.

Dohľad nad ochranou osobných údajov

Dohľad nad ochranou osobných údajov na Slovensku vykonáva Úrad na ochranu osobných údajov Slovenskej republiky. Dotknutá osoba má právo podať sťažnosť na Úrad, ak sa domnieva, že spracúvanie jej osobných údajov je v rozpore s GDPR alebo zákonom č. 18/2018 Z. z.

Prečítajte si tiež: Výmaz záložného práva: Postup krok za krokom

tags: #vymaz #osobných #údajov #postup