Hlavní navigace

Jak se v praxi poprat s žádostí o výmaz zákazníka podle GDPR?

Alžběta Kokešová

To, že někdo využije svého práva na výmaz, neznamená, že po sobě může zamést veškeré stopy z povrchu zemského (i toho online).

Doba čtení: 3 minuty

Právo být zapomenut neboli právo na výmaz (ano, jedná se o totéž) ovšem způsobilo a způsobuje nejednu pernou chvilku společnostem, u kterých se lidé dožadují tohoto práva. Toto právo ale není novinkou, kterou přineslo GDPR, jak by si mohl kdekdo myslet, ale postupně se klubalo na svět v rozhodovací praxi Soudního dvora EU. V Česku znal v omezené míře právo na likvidaci údajů zákon o ochraně osobních údajů. Přesto si s žádostí o výmaz jen málokdo ví rady.

Jak se s tím poprat?

Pokud jste dodržovali předpisy a následně upgradovali své procesy a dokumenty na GDPR nebo alespoň vzali GDPR jako výzvu a dali vše do kupy, můžete být v klidu, máte totiž přehled o tom, jaká data, kde a proč zpracováváte. Pro vás tak provedení výmazu nebude žádným oříškem.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Není-li toto váš případ, uvařte si silné kafe, zabědujte si, proč jste se i přes mediální smršť na GDPR nepřipravili, a pusťte se do práce. V prvé řadě zmapujte, jaké osobní údaje a kde zpracováváte, zda jste je někomu předávali, k čemu je potřebujete a co vás k jejich zpracování opravňuje (např. souhlas, plnění smlouvy, ukládá vám to zákon atp.) K čemu toto třídění? Usnadní vám vypořádání se s žádostí a rozlišením, jaké osobní údaje musíte a nemusíte vymazat.

Zapomeňte na mě!

Je to tady, přišla vám žádost, ve které váš bývalý zákazník požaduje, abyste vymazali veškeré jeho údaje. Co tedy udělat jako první, když taková žádost přijde? Poznamenat si datum, na níže popsaný proces totiž máte 1 měsíc, výjimečně dva. Ale hlavně nepanikařte a neskartujte hned zběsile vše, co máte po ruce.

  1. Ověřte si, že žádost pochází skutečně od toho, koho údaje mají být vymazány (např. průkazem totožnosti, telefonicky).
  2. Zaznamenejte si datum žádosti a stopujte 1 měsíc.
  3. Zmapujte veškeré osobní údaje a způsoby zpracování, které u daného člověka provádíte.
  4. Proveďte výmaz – roztřiďte si údaje na ty, které smazat musíte a které si můžete ponechat.
  5. Informujte žadatele o provedení výmazu – jaké údaje byly vymazány, jaké nebyly a proč (uveďte kategorie osobních údajů, právní tituly zpracování a právní důvody, kvůli kterým si některé údaje ponecháte).
  6. Informujte další správce a své zpracovatele o žádosti o výmaz.

Co si můžete ponechat:

Content First tip v článku 2019

  • údaje, které musíte zpracovávat pro plnění smlouvy (typicky kontaktní údaje, doručovací adresa atp. – záleží na typu smlouvy),
  • údaje, které musíte zpracovávat pro plnění povinnosti (daňová evidence, dokumenty ke zdravotnímu, sociálnímu pojištění apod.),
  • údaje potřebné pro výkon práva na informace a svobodu projevu (např. v oblasti žurnalistiky či ve veřejném zájmu),
  • údaje, které zpracováváte na základě oprávněného zájmu, kde tento zájem převažuje nad právem žadatele (například e-mailová komunikace týkající se smlouvy, uplatnění práv, případně i jde-li o technicky náročnou operaci – vždy záleží na konkrétním případu),
  • údaje zpracovávané pro výkon a ochranu práv (např. právní titul zpracování, smlouvy, uplatněné právní nároky).

Co smazat musíte:

  • údaje zpracovávané na základě souhlasu, nemáte-li pro zpracování některých údajů jiný právní důvod,
  • údaje pro účely marketingu (i v případě vznesení námitky proti jejich zpracování),
  • údaje, které (už) nepotřebujete (zpracovávání má být vždy v přiměřené míře) a zákon vám jejich zpracování neukládá,
  • údaje, které jste zpracovávali, aniž byste k tomu měli právní důvod.

Vidíte, tak složité to není. Přistupujte k výmazu s rozvahou a pečlivě a poučte žadatele, že má vždy v případě nespokojenosti právo obrátit se na ÚOOÚ nebo na soud.