zpět

Žádost o výmaz

18.9.2024

Když vás klient podá žádost o výmaz svých osobních údajů, je potřeba reagovat rychle a hlavně správně. Nedodržení pravidel stanovených GDPR může být drahé – nejen finančně, ale i reputačně. Některé firmy na to už doplatily, protože situaci podcenily. Přitom správně nastavený interní proces může takovým komplikacím snadno předejít.

V tomto článku se podíváme na to, jaké kroky musíte podniknout, aby vaše firma žádost o výmaz vyřídila bez problémů a v souladu s pravidly. Pokud proces nastavíte správně, může to nejen eliminovat riziko sankcí, ale i přispět k lepšímu fungování vaší firmy.

Proč je žádost o výmaz tak důležitá?

Když váš klient nebo zaměstnanec podá žádost o výmaz, dává tím najevo, že nechce, aby vaše firma dál zpracovávala jeho osobní údaje. To může mít různé důvody – například odvolání souhlasu, ukončení smlouvy, nebo prostě jen obava o soukromí. Všechny tyto důvody jsou chráněny právem na výmaz, které je zakotveno v GDPR.

V praxi to znamená, že pokud údaje zpracováváte na základě souhlasu, a ten je odvolán, nebo pokud už údaje nejsou potřebné pro účely, pro které byly shromažďovány, musíte data smazat. Výjimkou mohou být situace, kdy existuje právní povinnost data uchovávat, například kvůli účetním předpisům.

Zásadní problém, který řada firem podceňuje, spočívá v rychlosti a kvalitě reakce. GDPR jasně stanovuje, že na vyřízení žádosti máte jeden měsíc. V některých případech lze tuto lhůtu prodloužit o dva měsíce, ale musíte to klientovi včas oznámit a doložit, proč potřebujete více času.

Jak postupovat krok za krokem

Když obdržíte žádost o výmaz, máte před sebou několik kroků, které je nutné dodržet.

Ověřte oprávněnost žádosti

Nejdříve zjistěte, zda klient skutečně splňuje podmínky pro výmaz. To zahrnuje například posouzení, zda již údaje nejsou potřebné nebo zda byl odvolán souhlas se zpracováním. Pokud zjistíte, že máte právní důvod data uchovat (např. účetnictví), musíte klienta informovat o tom, že žádosti nelze vyhovět, a jasně mu vysvětlit proč.

Zkontrolujte, kde všude máte data

Zjistěte, v jakých systémech se klientovy údaje nacházejí. To je častý kámen úrazu, zejména pokud firma používá různé systémy pro správu zákaznických údajů (CRM), účetní software a další databáze. Někdy jsou údaje uloženy i ve starších systémech nebo zálohách, což může vyřízení žádosti značně zkomplikovat.

Vymažte data správně

Pokud žádosti vyhovíte, nezapomeňte provést úplný výmaz ze všech systémů. Nestačí data jednoduše označit jako "smazaná" nebo je jen skrytě odstranit z viditelného seznamu. Podle GDPR musí být data zlikvidována tak, aby nebyla zpětně obnovitelná. To znamená i odstranění ze záloh, což je často přehlížená, ale velmi důležitá část procesu.

Informujte klienta

Po vymazání dat musíte klienta informovat o tom, že jeho žádost byla vyřízena. Pokud jste mu nemohli vyhovět, musíte mu sdělit důvody a zároveň ho informovat o možnosti podat stížnost u Úřadu pro ochranu osobních údajů nebo se obrátit na soud.

Jaké jsou důsledky nevyřízení žádosti?
Když firma na žádost o výmaz nereaguje správně, vystavuje se značným rizikům. První a nejvíce medializované riziko představují pokuty, které mohou dosáhnout až 20 milionů EUR nebo 4 % z celosvětového ročního obratu firmy. Tyto pokuty jsou často uloženy velkým korporacím, ale ani menší firmy nejsou ušetřeny.

Například v roce 2020 dostala menší firma z oblasti e-commerce v jedné evropské zemi pokutu ve výši 100 tisíc EUR, protože klientovi, který žádal o výmaz údajů, odpověděla se zpožděním. Navíc nezajistila úplné vymazání údajů z interních záloh, což bylo při kontrole odhaleno. I když se může zdát, že jde o administrativní drobnost, pro menší firmu může taková pokuta představovat zásadní finanční problém.

Druhým rizikem je poškození reputace. Pokud se klient nebo zaměstnanec cítí být poškozen tím, že jeho práva nebyla respektována, může situaci medializovat. A to nejen prostřednictvím stížnosti u Úřadu pro ochranu osobních údajů, ale i na sociálních sítích či v médiích. Takové případy poškozují důvěru a mohou vést k odlivu zákazníků.

Jak předejít problémům?

Abyste předešli rizikům, je nezbytné mít interní procesy pevně nastavené. Ověřte, že víte, kde máte uložena data svých klientů, jak se s nimi pracuje, a kdo má za jejich správu odpovědnost. Pro tyto účely je ideální vést přehledný seznam všech systémů a databází, ve kterých jsou údaje uloženy, včetně odpovědností jednotlivých pracovníků.

Důležité je také pravidelně školit zaměstnance, zejména ty, kteří mají na starosti komunikaci s klienty. Musí být připraveni správně reagovat na žádosti o výmaz a vědět, kam je předat. Pověřenec pro ochranu osobních údajů (DPO) nebo osoba odpovědná za GDPR by pak měla pravidelně kontrolovat, že jsou tyto postupy dodržovány a případně procesy upravit podle nových zkušeností.

Příležitost k vylepšení procesů
Pokud při vyřizování žádosti narazíte na nedostatky, například zjistíte, že údaje nejsou řádně archivovány nebo že nemáte přehled o tom, kde všude jsou data uložena, může to být impuls k přehodnocení a vylepšení stávajících postupů.
Nezapomínejte, že při dodržování GDPR nejde jen o vyhnutí se sankcím. Správná správa osobních údajů zvyšuje důvěru klientů ve vaši firmu a přispívá k jejímu celkovému úspěchu.