Někteří z nás už se setkali se situací, kdy si chcete zrušit profil na sociální síti a narazili jste na 2-3 týdny trvající proces. Na konci tohoto procesu profil obsahující fotky a údaje nadále vesele, i když už né veřejně, existoval na serverech poskytovatele sociální sítě.
Aby se takovým situacím předcházelo, GDPR zavádí od května 2018 právo na vymazaní osobních údajů. To ve srozumitelné řeči znamená právo být zapomenut v digitálním světě. Jak máme právo na zapomnění chápat a jaké další práva podle GDPR váš zákazník má, uvádíme podrobněji v článku.
Právo na zapomnění
Právo na zapomnění klade vysoké nároky na správce = na zpracovatele osobních údajů, na kterém je hlavní odpovědnost za správné zpracování osobních údajů podle GDPR (více o odpovědnosti správce v naší první části série o GDPR).
Právo na zapomnění ve zkratce znamená:
- povinnost vymazat osobní údaje konkrétní osoby (co je osobním údajem se dozvíte v našem článku)
- bez zbytečného odkladu = do jednoho měsíce, v odůvodněných případech do dvou měsíců od doručení žádosti.
Kdy je správce povinný osobní údaje vymazat?
- 1. Pokud je zpracování osobních údajů založené např. na souhlasu odběratele newsletteru a ten svůj souhlas se zpracováním osobních údajů odvolá. Odvolání souhlasu se zpracováním osobních údajů má být z technického hlediska obdobné jako jeho udělení, aby tyto úkony byly z pohledu adresáta vašich služeb rovnocenné.
Např.
Pokud máte udělení souhlasu založené na double opt-in formě email marketingu (což se doporučuje) rovnocenným odvoláním souhlasu je opt-out emailová forma, ke které se člověk dostane přímo v zaslané emailové kampani a zároveň je pro něho tato forma pochopitelná a srozumitelná.
- 2. Další případ smazání osobních údajů nastane v situaci, kdy už osobní údaje na avizovaný účel nepotřebujete.
Např.
Dodali jste už zboží z eshopu, newslettery nezasíláte a daňové a jiné zákony od vás už uchovávaní údajů nevyžadují.
- 3. Taktéž máte povinnost vymazat osobní údaje, pokud váš zákazník podá námitku proti vašemu oprávněnému zájmu, který tvoří právní základ pro zpracování osobních údajů – typickým příkladem jsou osobní údaje obsažené v objednávkovém formuláři.
Např.
Pokud vám zákazník pošle námitku s tím, že jeho telefonní číslo nepotřebujete na technické zabezpečení dodání zboží, protože si zvolil dodání ebooku na emailovou adresu. Více o oprávněném zájmu v druhé části série.
- 4. Povinnost vymazat osobní údaje máte i tehdy, pokud jste osobní údaje zpracovali nezákonně.
Např.
Z tohoto důvodu vládne na internetu před 25. květnem 2018 velký boom v otázce souladu existujících databází sesbíraných kontaktů s GDPR. Po uplynutí uvedeného data budou už údaje, které nebyly získané v souladu s požadavky GDPR, zpracované nezákonně a budou muset být vymazané.
Zveřejněné osobní údaje – španělská vesnice 🙂
GDPR ukládá správcům, aby informovali ostatní správce, kteří zpracovávají osobní údaje dotyčné osoby o její žádosti o smazání a podnikli opatření k výmazu údajů i u nich. Při zveřejněných údajích to však není vůbec jednoduché a věru těžko představitelné…a jen praxe ukáže, jak bude k celé situaci přistupovat Úřad na ochranu osobních údajů.
Těším se na vás při pokračovaní článku
GDPR: právo na zapomnění a další práva II.
Všechny díly seriálu o GDPR:
- GDPR 2018: strašák nebo pomocník?
- GDPR a zpracování osobních údajů: stačí souhlas?
- GDPR: o čem všem informovat zákazníka?
- GDPR: právo na zapomnění a další práva I. (právě čtete)
- GDPR: právo na zapomnění a další práva II.
- GDPR a analýza chování zákazníků
2 komentáre