Právo na vymazanie v praxi: Analýza zistení EDPB 2025 a odporúčania pre firmy

V kontexte čoraz prísnejšieho presadzovania európskych pravidiel ochrany súkromia predstavuje právo na vymazanie (právo „na zabudnutie“) jednu z najkomplexnejších technických a právnych výziev. Táto analýza spracováva kľúčové zistenia z koordinovanej akcie Európskeho výboru pre ochranu údajov (EDPB), ktorej závery boli oficiálne prijaté 10. februára 2026. Ako advokáti špecializujúci sa na compliance procesy považujeme túto správu za zásadný „benchmark“ pre nastavenie dátovej stratégie každej modernej spoločnosti.

1. Kontext koordinovanej akcie EDPB 2025

V priebehu roka 2025 realizovalo 32 dozorných orgánov v rámci Európskeho hospodárskeho priestoru (EHP) v poradí štvrtú edíciu koordinovaného rámca presadzovania (CEF). Do akcie bolo zapojených 764 prevádzkovateľov, pričom pozornosť dozorných orgánov sa sústredila najmä na veľkých hráčov až 19 zapojených orgánov cielilo na subjekty spravujúce dáta viac ako 1 000 000 dotknutých osôb.

Z nášho pohľadu je kritické zistenie, že hoci právo na vymazanie podľa článku 17 GDPR patrí medzi najčastejšie uplatňované práva a je hlavným zdrojom sťažností v rámci EÚ, celková úroveň súladu bola vyhodnotená len ako „priemerná“.

Strategický vhľad pre riadenie rizík: Dáta EDPB ukazujú jasný trend v tom, kto práva uplatňuje. Kým zákazníci (customers) sú pri uplatňovaní práva na vymazanie vysoko aktívni, zamestnanci a dodávatelia (contractors) uplatňujú toto právo v oveľa nižšej miere. Pre firmy to znamená, že prioritizácia compliance procesov by mala smerovať primárne k B2C rozhraniam a klientskym databázam, kde je riziko sťažností podaných na Úrad na ochranu osobných údajov (ÚOOÚ) najvyššie.

2. Prehľad 7 kľúčových nedostatkov

Nasledujúca tabuľka sumarizuje hlavné systémové chyby identifikované dozornými orgánmi naprieč celým EHP:

Identifikovaný nedostatok Stručný popis rizika

1. Absencia interných postupov Neexistencia písomných procesov vedie k subjektívnemu a nekonzistentnému vybavovaniu žiadostí, čo znemožňuje naplniť princíp zodpovednosti (Accountability).
2. Nedostatočné školenia Personál v „prvej línii“ nedokáže správne identifikovať žiadosť o vymazanie, ak nie je formulovaná právnickou terminológiou.
3. Netransparentnosť Informačná povinnosť v Privacy Notice je často neúplná alebo neposkytuje praktický návod, ako právo uplatniť.
4. Nesprávne uplatňovanie výnimiek Absencia individuálneho posúdenia pri zamietnutí žiadosti; paušálne odvolávanie sa na výnimky bez vykonania testu proporcionality.
5. Problematická retencia dát Nedefinované lehoty uloženia spôsobujú, že sa dáta uchovávajú „pre istotu“ (just-in-case), čo je v priamom rozpore so zásadou obmedzenia uchovávania.
6. Mazanie v zálohách (Back-ups) Dáta ostávajú v zálohách nekonečne dlho po vymazaní zo „živých“ systémov pre technickú neochotu implementovať automatizáciu.
7. Zlyhania pri anonymizácii Používanie techník, ktoré umožňujú spätnú identifikáciu (pseudonymizácia), čo EDPB považuje za neúplné a právne neúčinné vymazanie.

3. Detailná analýza: Organizačné a právne výzvy

3.1 Interné postupy a školenia zamestnancov

Z pohľadu princípu zodpovednosti (čl. 5 ods. 2 GDPR) je neprípustné, aby handling žiadostí závisel od ad-hoc rozhodnutí zamestnancov. Absencia písomných procesov je dozornými orgánmi vnímaná ako systémové zlyhanie.

Odporúčania Semancin & Partners:

1. Formalizácia smernice: Implementujte metodiku s presnou alokáciou zodpovednosti (právne oddelenie vs. IT vs. DPO) a striktnými lehotami.

2. Role-specific training s testovaním: Všeobecné školenie je nepostačujúce. Zamestnanci musia prejsť testom kompetencií a praktickými simuláciami (napr. identifikácia žiadosti zaslanej cez sociálne siete).

3. Dokumentácia (Logovanie): Každý krok vybavenia žiadosti musí byť spätne auditovateľný pre potreby prípadnej kontroly z ÚOOÚ.

3.2 Transparentnosť a informačná povinnosť

Dozorné orgány zistili, že prevádzkovatelia systematicky zlyhávajú v napĺňaní čl. 13 ods. 2 písm. b) a čl. 14 ods. 2 písm. c) GDPR. Informácia o práve na vymazanie v Privacy Notice nesmie byť len citáciou zákona. Musí obsahovať konkrétny komunikačný kanál a jasné podmienky, za ktorých bude žiadosti vyhovené.

3.3 Právna neistota pri uplatňovaní výnimiek (Balancing Test)

Kritickým zlyhaním je zneužívanie výnimiek podľa čl. 17 ods. 3 GDPR. EDPB zdôrazňuje metaforu „váh“: na jednej strane stojí právo jednotlivca na súkromie, na druhej strane oprávnený záujem prevádzkovateľa (napr. sloboda prejavu, informácií alebo obhajoba právnych nárokov).

Pri každom zamietnutí žiadosti musí prevádzkovateľ vykonať a zdokumentovať tzv. Balancing Test (test proporcionality). Ak prevádzkovateľ odmietne vymazať údaje s odkazom na právne nároky bez individuálneho posúdenia konkrétneho prípadu, vystavuje sa vysokému riziku sankcie. Do tohto procesu musí byť povinne zapojené compliance alebo právne oddelenie.

4. Detailná analýza: Technická realizácia a dátový manažment

4.1 Definícia a implementácia lehôt uloženia (Retencia)

Právo na vymazanie nie je len reakciou na žiadosť; je to výsledok správne nastavenej retencie. Firmy musia mať v Záznamoch o spracovateľských činnostiach (ROPA) explicitne definované lehoty pre každý účel. Ak lehota uplynie, výmaz musí nastať proaktívne.

4.2 Výzvy pri mazaní záloh (Back-ups)

EDPB identifikoval manuálne spracovávanie záloh ako vysoko neefektívne a rizikové. Právna požiadavka vymazania „bez zbytočného odkladu“ sa vzťahuje aj na archívne médiá.

Technické odporúčanie: Odporúčame upustiť od manuálneho vymazávania v zálohách. Štandardom by mala byť implementácia automatizovaných procesov, ako je cyklické prepisovanie záloh v pravidelných intervaloch. Ak sa údaje obnovujú zo zálohy (Restore), systém musí automaticky aplikovať zoznam predchádzajúcich žiadostí o vymazanie, aby sa vymazané údaje opätovne „neoživili“.

4.3 Anonymizácia ako alternatíva k vymazaniu

Pozor na zámenu anonymizácie s pseudonymizáciou (maskovaním). Ak je možné osobu re-identifikovať s vynaložením „určitého úsilia“ (napr. prepojením s inou databázou), vymazanie je z právneho hľadiska neúplné.

Prevádzkovatelia by mali postupovať v súlade s judikatúrou Súdneho dvora EÚ (napr. rozsudok vo veci SRB) a implementovať „state-of-the-art“ techniky (napr. k-anonymita, diferenciálne súkromie). Ak proces nie je nevratný, ÚOOÚ ho bude klasifikovať ako porušenie povinnosti podľa čl. 17 GDPR.

5. Kontrolný zoznam pre samohodnotenie

Položte si ako prevádzkovateľ nasledujúce otázky na overenie stavu vášho súladu:

• Postupy: Máme vypracovaný písomný proces s jasne definovanými lehotami a alokáciou zodpovednosti?
• Školenia: Sú naši zamestnanci pravidelne školení a je efektivita školenia overovaná testom?
• Informácie: Je náš Privacy Notice používateľsky prístupný a obsahuje konkrétne návody na uplatnenie práva?
• Výnimky: Schvaľuje každé zamietnutie žiadosti právne oddelenie na základe písomného testu proporcionality?
• Retencia: Máme lehoty uloženia jasne definované v ROPA pre každý jeden účel spracúvania?
• Zálohy: Máme nastavený automatizovaný proces (napr. cyklické prepisovanie), ktorý zabezpečí výmaz dát bez zbytočného odkladu?
• Anonymizácia: Sú naše anonymizačné techniky skutočne nevratné a v súlade s aktuálnymi technickými štandardmi?

6. Záver: Súlad ako kontinuálny proces

Zistenia EDPB z roku 2026 potvrdzujú, že súlad nie je cieľ, ale kontinuálny proces. Právo na vymazanie nie je len formálnou právnou povinnosťou, ale hlbokou organizačnou a technickou výzvou, ktorá si vyžaduje transformáciu dátovej stratégie. Firmám odporúčame implementovať merateľné ukazovatele (KPI) pre vybavovanie žiadostí a pravidelne auditovať efektivitu svojich technických riešení. Transformácia dátového manažmentu dnes je najlepšou investíciou do prevencie pred vysokými sankciami v budúcnosti.

Právne upozornenie Tento dokument slúži výhradne na informačné účely a nenahrádza individuálnu právnu konzultáciu. Niektoré odporúčania sú nezáväzné a vychádzajú zo správy EDPB prijatej dňa 10. februára 2026. Pri implementácii konkrétnych riešení vždy zohľadnite špecifiká vašej obchodnej činnosti a aktuálnu judikatúru.