Menu

Právo na výmaz v praxi: zásadní chyby evropských firem

Před 7 hodinami. Vytisknout

EDPB odhalil zásadní nedostatky při uplatňování práva na výmaz dle GDPR. Firmy selhávají v procesech, lhůtách i technickém mazání dat.

Peter Lipták

Evropský sbor pro ochranu osobních údajů (EDPB) zveřejnil v únoru 2026 zprávu o koordinované kontrolní akci (CEF) zaměřené na právo na výmaz podle článku 17 GDPR. Tento článek analyzuje klíčová zjištění zprávy a odhaluje, s jakými problémy se potýkají firmy i státní instituce při odstraňování našich digitálních stop a kde evropské firmy a instituce dělají největší chyby.

Představte si, že byste každou chybu z minulosti, každou starou fotografii nebo neuvážený nákup museli nést s sebou po zbytek života. V digitálním světě to tak kdysi bylo. Potom přišlo GDPR a s ním „právo na výmaz“. Nejnovější celoevropská zpráva však ukazuje, že cesta k digitálnímu zapomenutí je plná byrokratických pastí a technických překážek.

Co je to vlastně „právo na zapomenutí“?

Než se ponoříme do zjištění kontrolorů, musíme si vysvětlit základní pojem. Právo na výmaz, často nazývané také „právo na zapomenutí“, je definováno v článku 17 nařízení GDPR (General Data Protection Regulation – obecné nařízení o ochraně osobních údajů).

Jednoduše řečeno: Jde o vaši zákonnou možnost požádat jakoukoli firmu, e-shop, banku nebo státní úřad, aby odstranily všechny informace, které o vás uchovávají.

Kdy na to máte nárok?

  • Když už údaje nejsou potřebné pro účel, pro který byly shromážděny, například když jste zrušili účet v e-shopu.
  • Když odvoláte svůj souhlas, například s odběrem newslettra.
  • Když byly údaje zpracovávány nezákonně.

Velká evropská razie – Co zjistil EDPB?

V průběhu roku 2025 se 32 dozorových orgánů, u nás je to Úřad pro ochranu osobních údajů, podívalo na prsty 764 organizacím napříč celou Evropou. Tato akce se nazývala CEF (Coordinated Enforcement Framework – koordinovaný rámec prosazování). Šlo o dosud největší audit toho, jak firmy reagují, když jim napíšete: „Smažte moje data!“

Kdo jsou největší „hříšníci“?

Zajímavým zjištěním je, že nejvíce žádostí o výmaz směřuje do soukromého sektoru, zejména k online obchodníkům a poskytovatelům digitálních služeb. Veřejná správa, tedy úřady, školy a nemocnice, dostává žádostí minimum.

Proč je to tak? Laicky řečeno: Lidé se více bojí toho, co o nich ví Google nebo místní prodejce elektroniky, než toho, co o nich ví stát. Zároveň však ve státní správě existuje řada zákonů, které ukládají povinnost údaje uchovávat, například daňové dokumenty, takže úplné mazání je tam často právně nemožné.

„Vyřídíme to… někdy.“

Jedním z klíčových pravidel GDPR je, že firma musí na vaši žádost odpovědět bez zbytečného odkladu, nejpozději do jednoho měsíce. Zpráva EDPB však odhalila, že mnohé firmy tento termín vnímají spíše jako „orientační“. Často chybí jakékoli potvrzení o přijetí žádosti, takže uživatel celé týdny netuší, zda se něco děje.

Sedm smrtelných hříchů při nakládání s naším soukromím

Kontrola identifikovala sedm hlavních oblastí, kde evropské organizace selhávají. Pojďme si je vysvětlit lidskou řečí.

1. Chybějící „kuchařka“ (interní postupy)

Mnoho firem nemá sepsaný přesný postup, co má zaměstnanec udělat, když mu přijde e-mail se žádostí o výmaz. V praxi to vypadá tak, že si e-mail přehazují mezi odděleními, dokud na něj někdo nezapomene. Zpráva zdůrazňuje, že bez „papírového“ postupu je soulad s právem jen věcí náhody.

2. Personál v informační mlze

Často se stává, že zaměstnanec na zákaznické lince ani netuší, co je článek 17 GDPR. EDPB zjistil kritický nedostatek školení. Pokud pracovník prvního kontaktu neumí identifikovat žádost o výmaz, proces se zastaví dříve, než vůbec začal.

3. Příliš složité „jak na to“

Zkuste někdy najít na stránce velké korporace návod, jak požádat o výmaz údajů. Často je ukrytý v padesátistránkových „Podmínkách ochrany soukromí“ napsaných právnickou hatmatilkou. A to ještě pokud tam vůbec je. Většinou jde jen o formální splnění tzv. informační povinnosti. Kontroloři volají po transparentnosti, tedy po tom, aby firmy na webu jasně a jednoduše napsaly: „Pokud chcete vymazat své údaje, klikněte sem nebo napište na tento e-mail.“ Je ale pravda, že webová stránka není povinný informační kanál. Přesto se kontroloři rádi zeptají, proč jste takový „fantastický“ komunikační kanál nevyužili.

4. Dilema výjimek: Kdy mi nemusí vyhovět?

Toto je nejsložitější část. Právo na výmaz není „všemocné tlačítko Delete“. Firma může vaši žádost zamítnout, pokud například:

  • Musí údaje uchovávat kvůli zákonu, například faktury kvůli daním.
  • Údaje jsou potřebné pro uplatnění právních nároků, například při soudním sporu.
  • Jde o svobodu projevu, například novinářský článek.

Zpráva zjistila, že firmy často neumějí tyto výjimky správně posoudit a buď vymažou i to, co nesmějí, nebo častěji odmítnou vymazat vše s vágně formulovanou výmluvou.

5. Nekonečné skladování údajů (retenční doby)

Retenční doba je odborný termín pro „dobu trvanlivosti“ vašich údajů. Firma by měla mít přesně stanoveno, že například záznam o vašem nákupu uchovává dva roky a poté ho automaticky smaže. Kontrola ukázala, že mnohé firmy si údaje nechávají „pro strýčka Příhodu“ navždy, což je v přímém rozporu s duchem GDPR.

6. Duchové v zálohách (Back-upy)

Toto je technický oříšek. I když firma smaže vaše jméno ze své aktivní databáze, toto jméno stále zůstává v tzv. zálohách, tedy bezpečnostních kopiích systému. Vymazat jednu konkrétní osobu ze zálohy, která obsahuje miliony jmen, je technicky nesmírně náročné a drahé. Mnozí správci to proto jednoduše ignorují a doufají, že se na to nepřijde. Otázkou je, zda by na ně platila formulace nařízení GDPR: „správce přiměřeně svým možnostem…“

7. Falešné mazání (anonymizace)

Některé firmy tvrdí: „My jsme vaše údaje nesmazali, ale anonymizovali.“ To znamená, že odstranily vaše jméno a nahradily ho kódem, například Uživatel_123. Problém je, že pokud firma stále umí tento kód spojit s vaší IP adresou nebo historií nákupů, nejde o anonymizaci, ale spíše o tzv. pseudonymizaci, i když ani toto není úplně přesné vyjádření. Podle zprávy EDPB si řada firem tyto pojmy plete a mylně se domnívá, že data „vymazala“, přestože jsou stále snadno identifikovatelná.

Co nás čeká dál?

Rok 2026 bude ve znamení zpřísňování. Evropští dozoroví úředníci po této analýze nebudou jen nečinně sedět. Zpráva obsahuje jasný vzkaz:

  1. Budou padat pokuty: Kontrolní orgány už avizovaly, že v případech, kde zjistily vážné systémové chyby, například úplnou absenci procesů, zahájí formální správní řízení.
  2. Nové metodiky: EDPB připravuje jasnější pravidla pro firmy, jak řešit technické problémy se zálohami a anonymizací.
  3. Větší důraz na technologie: Firmy se už nebudou moci vymlouvat na to, že „systém to neumožňuje“. GDPR prosazuje princip Privacy by Design, tedy že systémy musí být od začátku navrženy tak, aby v nich bylo možné údaje snadno mazat.

Závěrečné shrnutí

Evropa udělala obrovský krok vpřed tím, že nám dala právo na digitální zapomenutí. Jak však ukazuje zpráva EDPB, papír, nebo obrazovka monitoru, snese hodně, ale realita v serverovnách firem je mnohem komplikovanější.

Jako občané bychom se však neměli nechat odradit. Právě využíváním našeho práva na výmaz nutíme organizace, aby investovaly do lepšího zabezpečení a transparentnosti. Naše soukromí není zboží, ale základní právo, a tato zpráva je důležitým varováním pro každou firmu, která na to zapomněla.

Komentáře   0
Personální legislativa v ČR