EDPB zveřejnil výsledky společné kontroly k uplatnění prává na výmaz

EDPB již od roku 2022 vybírá témata společné kontroly národních dozorový úřadů zaměřené na některý z důležitých principů či práv podle GDPR. V roce 2022 to bylo využití cloudu veřejným sektorem, v roce 2023 se společné šetření týkalo jmenování a postavení pověřenců pro ochranu osobních údajů. V roce 2024 se dozorové úřady z členských států EU zaměřily na uplatnění práva na přístup podle čl. 15 obecného nařízení o ochraně osobních údajů (GDPR). No a v roce 2025 úřady ověřovaly, jak je v praxi uplatňováno právo na výmaz podle čl. 17 GDPR.

Jak koordinovaná kontrola probíhala?

Do koordinované akce se zapojila 32 dozorových úřadů. Z nich 9 uplatnění práva na výmaz ověřilo v rámci standardní kontroly, zbylých 23 využilo variantu dotazníkové šetření. Cestou dotazníku šel i český Úřad pro ochranu osobních údajů.

Informace byly získány od celkem 764 správců údajů napříč EU. Byly mezi nimi velké i menší organizace z různých sektorů, včetně veřejných institucí. EDPB shrnul celková zjištění ve výsledné zprávě, jejíž přílohou byly i vstupy jednotlivých dozorových úřadů.

Hlavní zjištění

EDPB ve své závěrečné zprávě zdůrazňuje těchto 7 hlavních problémů s uplatněním práva na výmaz v praxi:

• Absence zdokumentovaného a aktualizovaného interního postupu pro vyřizování žádostí o výmaz
• Absence nebo nedostatečné školení zaměstnanců
• Nedostatečné informace poskytované subjektům údajů o jejich právech
• Nesprávné uplatňování a právní nejistota týkající se odmítnutí žádosti o výmaz
• Obtíže při stanovení a uplatňování dob uchovávání osobních údajů
• Výmaz osobních údajů, které byly zálohovány
• Obtíže s anonymizací při vyřizování žádostí o výmaz
  

Ke každému z těchto problémů EDPB navrhuje opatření na úrovni členských států či EU, jak případné nejasnosti či opakující se nesprávný postup správců odstranit.

Zajímavá čísla

Podívejme se na několik zajímavých čísel, která nám koordinovanou kontrolní akci ještě více přiblíží.

Informace byly získány od 764 správců osobních údajů. Nejvíce, přes 300, jich bylo z veřejného sektoru. Následují sektory zdravotnictví, školství a finance.

Zhruba 70 % oslovených správců ročně obdrží v průměru méně než 10 žádostí o výmaz. Na druhou stranu, existují i správci, kteří takovýchto žádosti evidují stovky ročně!

Žádosti nejčastěji uplatňují klienti či dotčení občané a uchazeči o zaměstnání. Až za nimi jsou stávající zaměstnance a potencionální zákazníci.

Situace v České republice

Jak ke kontrole přistoupil Úřad pro ochranu osobních údajů (ÚOOÚ) a jaké skutečnosti zjistil?

ÚOOÚ si vybral 20 správců, kterým zaslal stejný dotazník týkající se uplatnění práva na výmaz. Z nich 18 je z oblasti online retailu, 2 ze zdravotnictví. Při výběru úřad mířil spíše na větší správce. Veřejný sektor jako takový tentokrát ÚOOÚ vynechal.

Z těchto 20 správců poměrně velká část, celkem 5, uvedlo, že v roce 2024 obdrželi více než 500 žádostí o výmaz osobních údajů. Na opačné straně spektra 5 správců, kteří za stejné období vyřizovali 0-5 takových žádostí.

Velká většina správců potom uvedla, že ve sledovaném období neodmítla žádnou žádost o výmaz osobních údajů. Naproti tomu 1 správce úřadu sdělil, že v roce 2024 odmítl více než 50 % takovýchto podnětů.

Uplatnění práva na výmaz správcům nejčastěji adresovali zákazníci, potencionální zákazníci nebo pacienti. Zaměstnance či uchazeče o zaměstnání, případně další skupiny, jako nejaktivnější žadatele o výmaz neuvedl nikdo.

Český úřad dále konstatuje, že u kontrolovaných správců neidentifikoval systematické problémy či nedostatky s uplatněním práva na výmaz. Všichni kontrolovaní správci pro vyřizování těchto podnětů zavedli interní postupy a metodiky, i když ne všichni je pravidelně aktualizují. Všichni také pravidelně školí své zaměstnance, jak na uplatnění práva na výmaz mají reagovat.

ÚOOÚ rovněž uvedl několik příkladů dobré praxe. Ty zahrnovaly například:

• Zavedení různých komunikačních kanálů (e-mail, listinné podání, telefon) pro podání žádosti o uplatnění práva
• Potvrzení přijetí žádosti a sdělení předpokládané lhůty pro její vyřízení
• Informování subjektu údajů o možnosti podat stížnost u dozorového úřadu a domáhat se soudní ochrany.
  

Úřad doplnil, že oblast uplatnění práva na výmaz je častým tématem stížností subjektů údajů. Na základě shromážděných odpovědí pak hodlá zveřejnit výsledky kontrolní akce a nevyloučil ani možnost, že zahájí i standardní kontrolní či správní řízení s konkrétním správcem.

‍