Právo na vymazanie GDPR: Zásady EDPB v roku 2025

Čo je právo na vymazanie?

Čl. 17 GDPR („Právo na vymazanie") stanoví, že fyzické osoby majú právo požadovať vymazanie svojich osobných údajov v nasledujúcich prípadoch:

1. Údaje už nie sú potrebné na pôvodný účel spracovávania
2. Osoba stiahla svoj súhlas
3. Osoba namietla spracovávanie
4. Údaje boli spracované nezákonne
5. Údaje sa musia vymazať na plnenie zákonnej povinnosti
6. Údaje boli zbierané od detí bez súhlasu

Výzvy s právom na vymazanie

Aj keď je právo na vymazanie jasne definované, implementácia je zložitá:

Rozdelené databázy

Väčšina organizácií má údaje o zákazníkoch rozdelené do viacerých systémov:

• CRM systém (Salesforce, HubSpot)
• E-mailové platformy (Marketo, Klaviyo)
• Webové servery (Apache Kafka log)
• Archívy (S3 buckety, zdieľané priecinky)
• Zálohov (starší backupy z 2020, 2021...)

Vymazať údaje zo všetkých týchto systémov je logisticky zložité. Ak ste zabudli jeden, porušili ste GDPR.

Pseudo-anonymizácia a reverzibilnosť

Pokiaľ si myslíte, že ste „anonymizovali" údaje hashovaním (napr. md5(email)), sú stále vymazateľné podľa GDPR. Zákonník rozlišuje anonymizáciu od pseudo-anonymizácie. Hashovaných údajov sa GDPR stále vzťahuje, pretože hash možno spätne vyhľadať.