7.4
Právo na výmaz (právo „být zapomenut”)
JUDr. Eva Wierzbicka Mendrok, LL.M, Mgr. Tomáš Vavro, Mgr. Marek Zeman
Každý subjekt údajů má právo na to, aby jeho osobní údaje byly bez zbytečného odkladu vymazány, a tomuto právu subjektu údajů odpovídá povinnost správce bez zbytečného odkladu tyto osobní údaje vymazat, pokud byla splněna alespoň jedna z následujících podmínek:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
- subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
- subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
- osobní údaje byly zpracovány protiprávně,
- osobní údaje musejí být vymazány ke splnění právní povinnosti,
- osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti.
Toto právo je upraveno v čl. 17 GDPR a jeho obsahem je právo subjektu údajů domáhat se vymazání osobních údajů a nepokračování v jejich zpracování v případě, že se jedná o osobní údaje, které již nejsou potřebné pro účely, pro které byly shromážděny, nebo byly shromážděny protiprávně, nebo subjekt údajů odvolal souhlas se zpracováním apod. Správce je povinen takové osobní údaje vymazat, a to až na určité situace, kdy převažuje zájem na tom, aby takové osobní údaje vymazány nebyly.
Jelikož je právo subjektu na výmaz jeho osobních údajů podmíněno splněním určitých okolností, nelze toto právo chápat jako právo absolutní, které by opravňovalo subjekt údajů žádat o výmaz osobních údajů vždy a za jakýchkoliv okolností. V rámci tohoto práva na výmaz osobních údajů nelze například žádat po správci likvidaci všech osobních údajů za všech okolností, jelikož na správce se mohou vztahovat povinnosti k uchování určitých osobních údajů podle jiných právních předpisů. Například ve vztahu škola (správce) a bývalý žák (subjekt údajů) se vyžaduje, aby některé osobní údaje přetrvaly i původní vztah správce a subjektu údajů, v důsledku jehož existence byly osobní údaje získány a zpracovávány, a přestože tento vztah již zanikl, škola nemůže vymazat veškeré osobní údaje, které se k příslušné osobě – žáku či studentu vztahují (např. předepsaná dokumentace školy, údaje o absolvovaných závěrečných či maturitních zkouškách apod.).
Pokud jsou v čl. 17 odst. 1 GDPR stanoveny důvody, za nichž bude docházet k vymazání osobních údajů, čl. 17 odst. 3 GDPR stanoví výjimky z tohoto postupu.
NahoruVýjimky
Mezi výjimky stanovené Obecným nařízením, které opravňují správce nevyhovět žádosti subjektu údajů na výmaz, patří mimo jiné situace, kdy je zpracování takovýchto osobních údajů nezbytné:
- pro výkon práva na svobodu projevu a informace,
- pro splnění právní povinnosti, která se na správce vztahuje, nebo pro splnění úkolu, kterým je správce (zpravidla ze zákona) pověřen,
- z důvodu veřejného zájmu v oblasti veřejného zdraví,
- pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely,
- pro určení, výkon nebo obhajobu právních nároků.
Přestože však nejde o absolutní právo, subjekt údajů může po správci žádat, aby byly jeho osobní údaje zlikvidovány a nebyly dále zpracovávány, pokud to již není potřeba pro účel, pro který byly původně zpracovávány, nebo pokud subjekt údajů odvolal svůj souhlas se zpracováním, přičemž není dán žádný jiný zákonný důvod pro zpracování osobních údajů. Důvodem pro výmaz osobních údajů je také případ, kdy by subjekt údajů oprávněně vznesl námitku proti zpracování osobních údajů, které se k němu vztahují, nebo v případě, kdy by zpracování osobních údajů odporovalo GDPR nebo zákonu o zpracování osobních údajů.
Do nabytí účinnosti GDPR byla ekvivalentem právní úpravy práva na výmaz neboli tzv. práva být zapomenut obsaženého v čl. 17 GDPR úprava likvidace osobních údajů zahrnutá v § 20 ZOOÚ. Zákon o ochraně osobních údajů dosud stanovil povinnost správce v případě, že zjistil, že jím zpracované údaje nejsou s ohledem na stanovený účel přesné, a nelze aplikovat jiná opatření, tyto osobní údaje zlikvidovat. Totéž platilo v případě údajů, u nichž účel zpracování již zcela pominul. Naopak nebylo možné se například domáhat výmazu osobních údajů za situace, kdy subjekt údajů byl v pozici dlužníka vůči správci jako věřiteli, neboť správce by v důsledku výmazu přišel o možnost identifikovat svého dlužníka a tím pádem by bylo znemožněno efektivní vymožení dluhu.
Obsah právní úpravy likvidace osobních údajů obsažené do nabytí účinnosti GDPR v dnes již zrušeném zákoně o ochraně osobních údajů dokládá jen to, že postupy vedoucí k legální likvidaci osobních údajů, by každý správce měl mít nastaveny, proto adaptace na novou právní úpravu neměla činit větší problémy. Základem je pravidlo, které musí mít každý správce po celou dobu na paměti, tedy, aby byly zpracovávané osobní údaje, jejich právní důvod a účel zpracování pravidelně kontrolovány a periodicky aktualizovány, tím lze předejít mnoha dalším nesrovnalostem v těchto postupech.
Pokud jde konkrétně o zavedené postupy v rámci škol a školských zařízení je potřeba přijmout náležitá opatření související s kontrolou účelu a…
