Povinnosti správce pro odvolání souhlasu
Časté dotazy našich uživatelů:
Jak máme naložit s osobními údaji, které jsme zpracovali na základě podepsaného souhlasu zaměstnance, který nyní souhlas odvolal?
Časté dotazy našich uživatelů:
Jak máme naložit s osobními údaji, které jsme zpracovali na základě podepsaného souhlasu zaměstnance, který nyní souhlas odvolal?
V případě, že subjekt údajů odvolá svůj souhlas, pro správce to znamená povinnost vyhledat a zlikvidovat (vymazat nebo anonymizovat) všechny osobní údaje, pro jejichž zpracování již není právní důvod, a to i bez výslovné žádosti subjektu údajů. Když zaměstnavatel zjistí rozsah osobních údajů, které zpracovával pro určitý účel na základě souhlasu, musí před likvidací těchto údajů ověřit, jestli některé z těchto údajů nepotřebuje ještě k jinému účelu (např. jméno a příjmení zaměstnance). Likvidaci osobních údajů je povinen provést jen, když už neexistuje jiný právní důvod pro jejich zpracování.
Odvolání souhlasu nemá zpětné účinky, a tak se nebude dotýkat zpracování, které bylo na základě platného souhlasu učiněno až do momentu jeho odvolání (např. fotografie zaměstnance byla umístěna v marketinkové brožuře, jejíž distribuce mezi klienty proběhla před odvoláním souhlasu).
Pokud správce osobní údaje na základě souhlasu zveřejnil a poté je z důvodu odvolání souhlasu vymazal, je povinen s ohledem na dostupnou technologii a náklady na provedení přijmout přiměřené kroky, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie nebo replikace. Povinnost správce končí touto informací, správce tak není povinen zajistit, aby další správci provedli výmaz osobních údajů. V praxi není stále zcela zřejmé, jak se má v případě plnění této povinnosti přesně postupovat, takže by bližší návod měla přinést výkladová pravidla (tzv. pokyny) Evropského sboru pro ochranu osobních údajů, který je pověřen zpracováním stanovisek k jednotlivým méně jasným ustanovením GDPR.
Správce je dále povinen oznámit výmaz osobních údajů všem příjemcům (např. svým zpracovatelům), jímž byly osobní údaje zpřístupněny, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí (např. správce nezná přesný počet a kontaktní údaje všech příjemců). Určité zjednodušení při plnění této povinnosti přináší nový zákon o zpracování osobních údajů (č. 110/2019 Sb.) účinný od 24. 4. 2019, který upravuje určitá doplnění nebo povolené odchylky od GDPR. Pokud správce příjemcům osobních údajů pravidelně zpřístupňuje platný obsah evidence osobních údajů, není nutné výmaz osobních údajů těmto příjemcům zvlášť oznamovat, ale stačí jen provést změnu (výmaz) v této evidenci.