Obecné nařízení o ochraně osobních údajů, známé pod zkratkou GDPR (General Data Protection Regulation), představuje jeden z nejzásadnějších legislativních rámců v oblasti ochrany soukromí a dat. Do života evropských občanů i firem vstoupilo 25. května 2018 a přineslo s sebou řadu nových povinností pro správce a zpracovatele dat, ale především posílilo práva fyzických osob (subjektů údajů) nad jejich osobními daty. Jedním z nejdiskutovanějších a nejvýznamnějších prvků GDPR je právo na výmaz, často označované jako právo být zapomenut.
Tento obsáhlý článek se ponoří do podstaty práva být zapomenut, vysvětlí, jak mohou jednotlivci ochránit svá data a jaké konkrétní dopady má toto právo na podnikatelské subjekty.
1. Podstata Práva být zapomenut (Čl. 17 GDPR)
Právo být zapomenut je zakotveno v článku 17 GDPR a dává subjektu údajů právo požadovat po správci, aby bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, pokud je splněn některý z definovaných důvodů. Nejedná se o absolutní právo, ale o klíčový nástroj k uplatnění kontroly nad vlastní digitální stopou.
Kdy právo vzniká?
Subjekt údajů může požadovat výmaz dat v několika hlavních případech:
- Odpadnutí účelu: Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány.
- Odvolání souhlasu: Subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování (např. smlouva nebo zákonná povinnost).
- Vznesení námitky: Subjekt údajů vznese námitku proti zpracování (např. pro účely přímého marketingu) a neexistují převažující oprávněné důvody pro zpracování na straně správce.
- Protiprávní zpracování: Osobní údaje byly zpracovány protiprávně.
- Zákonná povinnost: Osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu.
- Služby informační společnosti: Osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti dítěti (čl. 8 odst. 1 GDPR).
Role vyhledávačů (Google)
Důležitý rozměr „práva být zapomenut“ se týká provozovatelů internetových vyhledávačů. Požadavky se často týkají odstranění odkazů (URL) z výsledků vyhledávání, které odkazují na zastaralé, irelevantní nebo nepravdivé informace, a to i v případě, že původní obsah na dané webové stránce zůstává. Evropský soudní dvůr v kauze Google Spain potvrdil, že vyhledávače jsou správci osobních údajů a musí takové žádosti posuzovat, přičemž je nutné vyvažovat právo na soukromí proti právu na svobodu projevu a informací ve veřejném zájmu.
2. Jak ochránit svá osobní data: Postup pro jednotlivce
Pro jednotlivce znamená právo být zapomenut aktivní nástroj ochrany soukromí. Pokud se domníváte, že správce zpracovává vaše údaje neoprávněně nebo nadbytečně, můžete učinit následující kroky:
- Identifikace správce: Zjistěte, kdo je správcem vašich osobních údajů (firma, e-shop, sociální síť atd.). Tato informace by měla být uvedena v zásadách ochrany osobních údajů (Privacy Policy).
- Podání žádosti o výmaz: Zašlete správci písemnou žádost, ve které jasně uvedete, které údaje mají být vymazány a z jakého důvodu (odvolání souhlasu, protiprávní zpracování, odpadnutí účelu, apod.).
- Lhůty a komunikace: Správce je povinen reagovat na žádost do jednoho měsíce od jejího obdržení. Ve složitých případech lze lhůtu prodloužit o další dva měsíce, ale správce o tom musí subjekt údajů informovat.
- Informační povinnost: Pokud správce údaje zpřístupnil třetím stranám, má povinnost přijmout přiměřené kroky, aby tyto třetí strany o žádosti o výmaz informoval.
- Stížnost na ÚOOÚ: Pokud správce vaší žádosti nevyhoví nebo nereaguje, můžete se obrátit se stížností na Úřad pro ochranu osobních údajů (ÚOOÚ). ÚOOÚ je dozorový orgán, který dohlíží na dodržování GDPR v České republice.
3. Co to znamená pro podnikání: Povinnosti a výzvy
Pro podnikatelské subjekty (správce i zpracovatele) představuje právo být zapomenut významnou administrativní, procesní a technologickou výzvu. Nereagování na oprávněnou žádost o výmaz může vést k vysokým pokutám a poškození reputace.
Klíčové povinnosti pro firmy:
- Implementace procesů pro vyřízení žádostí: Firma musí mít zavedené interní procesy, které umožní rychle a spolehlivě identifikovat osobní údaje žadatele, posoudit oprávněnost jeho žádosti a provést výmaz.
- Mapování dat: Správce musí přesně vědět, kde a jaké osobní údaje uchovává. To zahrnuje hlavní databáze, cloudová úložiště, zálohy, e-mailové archivy i fyzické dokumenty.
- Správa záloh a retence: Výmaz dat musí proběhnout i v záložních systémech. To je často technologicky nejsložitější část procesu. Důležitá je také stanovená doba retence (uchování) dat – po jejím uplynutí by měla data být automaticky anonymizována nebo vymazána.
- Posouzení výjimek: Správce musí umět posoudit, zda se na zpracování nevztahuje některá z výjimek z práva na výmaz. Výjimky zahrnují například:
- Výkon práva na svobodu projevu a informace (často se týká médií).
- Splnění právní povinnosti (např. účetní a daňové předpisy, které vyžadují uchování faktur po dobu 10 let).
- Pro určení, výkon nebo obhajobu právních nároků (např. uchování údajů po dobu záruční lhůty nebo soudního sporu).
- Informování dalších správců: Pokud firma údaje předala třetí straně (např. partnerské firmě pro marketing), musí ji informovat o žádosti o výmaz (pokud je to technicky možné a neklade to nepřiměřené úsilí).
Právo být zapomenut v marketingu a e-commerce
V oblasti e-commerce a online marketingu se právo být zapomenut uplatňuje obzvláště často.
- Odvolání souhlasu: Pokud zákazník odvolá souhlas s marketingovou komunikací (newsletterem), musí být jeho data pro tyto účely vymazána nebo anonymizována.
- Anonymizace vs. Výmaz: V mnoha případech stačí data anonymizovat (odebrat všechny prvky vedoucí k identifikaci fyzické osoby), aby se předešlo narušení statistických a analytických dat. Pravý výmaz dat je nutný tam, kde již pro zpracování neexistuje žádný právní důvod.
- Zákaznické účty: Po uplynutí zákonné doby pro uchování dat souvisejících s objednávkami by měl být zákaznický účet na vyžádání smazán, pokud klient neudělil nový souhlas.
4. Rovnováha mezi soukromím a právem na informaci
Právo být zapomenut je jedním z nejviditelnějších důsledků GDPR a symbolem snahy EU o posílení digitální suverenity občanů. Pro jednotlivce představuje silný nástroj k ochraně před neoprávněným, zneužitým nebo zastaralým zpracováním jejich osobních údajů, pomáhá „vyčistit“ digitální minulost a chránit profesní a osobní reputaci.
Pro podnikatele je toto právo stálou připomínkou nutnosti transparentního, zákonného a účelově vázaného zpracování dat. Vyžaduje investice do IT systémů, právní analýzy a interních procesů. Správné uchopení práva být zapomenut však není jen právní povinností, ale také vizitkou důvěryhodnosti a seriózního přístupu k ochraně dat, což se v konkurenčním prostředí stává stále cennější devizou. Úspěšné zvládnutí této výzvy je klíčové pro dlouhodobě udržitelné a etické podnikání v digitálním věku.