Právo na výmaz: Strašák, nebo příležitost k vylepšení vlastních procesů?
Klient požaduje kopii nebo výmaz svých osobních údajů. Umíte správně zareagovat?
Obecné nařízení o ochraně osobních údajů (GDPR) klade velký důraz na transparentnost a práva subjektů údajů. Lidí, fyzických osob, jejichž údaje jsou zpracovávány. Tato práva svědčí všem dotčeným osobám, ať už se jedná o klienty správce, zaměstnance, účastníky výběrových řízení, zaměstnance dodavatele, osoby zachycené kamerovým systémem před vchodem do skladu atd.
V GDPR jsou výslovně upravena tato práva:
- Právo na informace o zpracování osobních údajů, včetně přístupu ke kopii zpracovávaných údajů
- Právo na opravu nepřesných nebo neaktuálních osobních údajů
- Právo na výmaz osobních údajů (tzv. právo být zapomenut)
- Právo na omezení zpracování
- Právo na přenositelnost osobních údajů
- Právo na námitku proti zpracování údajů
- Právo napadnout automatizované rozhodnutí s právními nebo obdobnými důsledky pro dotčenou osobu
- Právo odvolat souhlas se zpracováním osobních údajů
- Právo podat stížnost u dozorového úřadu, Úřadu pro ochranu osobních údajů
Špatné vyřizování žádostí dotčených osob u uplatnění jejich práv přitom může být sankcionováno až do výše 20 milionů EUR nebo 4% z ročního celosvětového obratu skupiny podniků, podle toho, která částka je vyšší.
Nedostatečná reakce na uplatnění práva na výmaz osobních údajů již řadě správců způsobilo problémy. Včetně pokut. Jednalo se jako o větší hráče z řad globálních IT společností (příklad 1, příklad 2), tak střední či menší správce osobních údajů na národní úrovni (příklad 3, příklad 4). Ona i pokuta v řádu desítek či stovek tisíc EUR, spolu s povinností aktualizovat interní procesy a vymazat protiprávně uchovávané údaje, může být poměrně velkou komplikací.
Jak vyřizovat GDPR podněty správně?
Pro zajištění, že správce bude podněty dotčených osob k uplatnění jejich práv vyřizovat plně v souladu s GDPR, je vhodné nastavit a dokumentovat přiměřený vnitřní proces. Ten by měl obsahovat především následující prvky:
1) Vymezení kontaktů pro příjem podnětů
Správce by měl jasně definovat, jakými komunikačními kanály bude žádosti o uplatnění práv podle GDPR přijímat. Pro plný soulad s regulací by postup pro dotčené osoby měl být co nejsnadnější a nejdostupnější. O způsobech, jimiž lze žádost podat, musí také správce subjekty údajů transparentně informovat.
2) Nastavení odpovědnosti za vyřízení žádosti
Neméně důležité je určit, kdo je za faktické vyřizování požadavků subjektů údajů odpovědný. Může se jednat o jeden útvar či pozici, například pověřence pro ochranu osobních údajů, právní oddělení či back-office. Stejně tak se může na vyřízení podnětu podílet více útvarů. Podatelna podnět přijme a zaeviduje, IT poskytne požadované informace, back-office připraví a odešle odpověď.
Konkrétní nastavení provede správce tak, aby odpovídalo jeho organizačnímu uspořádání. Důležité však je odpovědnost jednotlivých útvarů jednoznačně definovat a popsat. A čas od času zkontrolovat, jestli všichni vědí, co mají dělat, a jestli postupují podle nastaveného procesu.
3) Vyřízení žádosti včas, správně a bezplatně
GDPR podrobně upravuje řadu procesních aspektů a požadavků vyřizování podnětů subjektů údajů.
První z těchto náležitostí je lhůta. Žádost o uplatnění GDPR práva musí být vyřízena do jednoho měsíce od přijetí. Tato lhůta může být prodloužena až o další dva měsíce, ale pouze tehdy, pokud správce hodlá žádosti vyhovět a je schopen doložit, že prodloužení lhůty bylo nezbytné s ohledem na složitost a počet žádostí. V takovém případě však musí správce do jednoho měsíce subjekt údajů vyrozumět o prodloužení lhůty.
Druhým procesním aspektem je povinnost vyřizovat žádosti bezplatně, bez nároku na uhrazení nákladů nezbytných pro jejich vyřízení. Správce může po subjektu údajů náhradu těchto nákladů požadovat pouze tehdy, pokud jsou žádosti dotyčného zjevně bezdůvodné či nepřiměřené. Bezdůvodnost či nepřiměřenost však musí být správce schopen doložit.
Další na řadě je povinnost správce vyrozumět klienta či zaměstnance, jehož žádosti nevyhoví, o jeho právech. Konkrétně o právu podat stížnost k Úřadu pro ochranu osobních údajů či a rovněž o právu napadnout postup správce u soudu.
4) Průběžné vedení evidence všech podnětů
Pro doložení souladu s požadavky GDPR je vhodným nástrojem vedení jednotné evidence všech přijatých podnětů. A to včetně jejich obsahu, času nezbytného na vyřízení a dotčených útvarů na straně správce.
Bez schopnosti zpětně doložit, kolik a jakých žádostí o uplatnění práv správce obdržel a jak je vyřídil, nelze doložit soulad s GDPR.
5) Vnitřní předpisy, dokumenty a šablony
Pro vyjasnění odpovědností jednotlivých zaměstnanců a snížení rizika, že podnět subjektu údajů zapadne a nebude vyřízen, je vhodné celý proces popsat do vnitřního předpisu. Předpisu či metodiky, se kterou budou seznámeni všichni zaměstnanci, kteří se na vyřizování podnětů budou podílet nebo se s podněty dotčených osob mohou setkat, třeba protože součástí jejich práce je komunikace se zákazníky.
Pro urychlení je vhodné připravit i šablony odpovědí, kterými bude správce na požadavky subjektů údajů reagovat.
6) Využijte GDPR žádosti k vylepšení vlastních procesů!
Zjistili jste při vyřizování žádosti o přístup k osobním údajům, že nemáte aktuální přehled, ve kterých systémech jsou osobní údaje zpracovávány? Dostatečně nefunguje proces archivace či výmazu dat? Může se jednat o velmi důležitý poznatek, proto jej využijte k vylepšení vlastních postupů! Příště se totiž nemusí ptát jenom klient, ale dozorový úřad nebo soud. Tak ať jste připraveni!
Další články
Rušíte dovolenou kvůli bezpečnostní situaci? Ne vždy máte nárok na vrácení peněz
Geopolitická situace ve světě dokáže změnit plány během okamžiku. Ozbrojené konflikty, teroristické útoky, masové nepokoje nebo náhlé uzavření vzdušného prostoru mohou vést ke zrušení celé dovolené ještě před odletem. V takových situacích může být poměrně matoucí, kdy vzniká nárok na vrácení peněz za letenky, ubytování i zaplacené služby.
Předkupní právo k nemovitosti
Za jakých podmínek předkupní právo vzniká a jaká jsou jeho specifika? V tomto článku bychom se zaměřili na institut předkupního práva k nemovitostem.
Digitální auditní stopa jako „svědek“ činnosti správního orgánu
Digitalizace veřejné správy postupně mění nejen způsob vedení řízení, ale i samotnou povahu dokazování. Tam, kde dříve hrály hlavní roli listiny, doručenky, úřední záznamy nebo svědecké výpovědi, dnes stále častěji vstupují do hry logy, metadata, časová razítka, změnové historie a workflow záznamy informačních systémů.
Výpověď podnájemní smlouvy ze zákonných důvodů: Nejvyšší soud k výkladu smluvního ujednání odkazujícího na zákon
Nejvyšší soud se v rozsudku sp. zn. 26 Cdo 2274/2025 ze dne 14. ledna 2026 zabýval zdánlivě jasnou otázkou. Jak vyložit ujednání podnájemní smlouvy, podle kterého lze podnájem ukončit „způsobem a z důvodů stanovených občanským zákoníkem“. Rozhodnutí Nejvyššího soudu v této věci nicméně není jen řešením jednoho právního sporu. Rozhodnutí ukazuje i na to, jak je důležité smluvní ujednání vykládat správně a jaké důsledky má, pokud smluvní strany nebo obecné soudy řádný výklad podcení.
Právo států na sebeobranu podle Charty OSN ve víru reálné politiky
Právo na individuální a kolektivní sebeobranu podle článku 51 Charty OSN představuje jeden z klíčových institutů současného mezinárodního práva. Jeho výklad však stále výrazně ovlivňuje reálná politika, fungování Rady bezpečnosti OSN i proměny charakteru ozbrojených konfliktů. Pozornost je věnována podmínkám legitimní sebeobrany, otázce předstižného zásahu i postavení států, které se konfliktů neúčastní přímo, ale podporují jednu z válčících stran dodávkami zbraní a vojenského materiálu.
