otázka
V rámci GDPR existuje právo na výmaz/právo být zapomenut. Co to pro firmu znamená, když toto právo bude chtít nějaký subjekt údajů uplatnit?
odpověď
Bude to znamenat, že veškeré údaje, které firma zpracovává a pro které už pominuly všechny důvody pro to, aby byly zpracovávané, musí být vymazány. V této souvislosti rozeznáváme:
-
právo na přístup – fyzická osoba může vyžadovat od kterékoliv instituce přístup k informacím, jaké osobní údaje o něm zpracovává, s kým jsou sdíleny, kde jsou zpracované, jak dlouho se zpracovávají, kdo k nim má přístup apod.
-
právo na výmaz – nastává až tehdy, když pominuly zákonné důvody zpracování údajů (např. v pracovně-právní agendě).
Pokud jsou osobní údaje zpracovávané na základě souhlasu a fyzická osoba jej odvolá, tak není důvod, aby se tyto údaje dále zpracovávaly a nevymazaly. Kromě situací, kdy jde například o prodej výrobku, na který se vztahuje záruční doba – odbavením objednávky pominul důvod zpracování osobních údajů (výrobek byl objednaný, zaplacený apod.), ale začíná běžet ještě záruční doba výrobku a po celou tuto dobu má dodavatel výrobku právo osobní údaje zpracovávat. Když uplyne doba záruky, tak už není důvod, aby si dodavatel (kterým může být například i e-shop) osobní údaje zákazníka nechal, pokud k tomu přímo zákazník (fyzická osoba) nedal souhlas. Musí tak být vymazány nejen z hlavní databáze, ale i ze všech záloh.