Európsky výbor pre ochranu údajov (EDPB) zverejnil vo februári 2026 správu o koordinovanej kontrolnej akcii (CEF) zameranej na právo na vymazanie podľa článku 17 GDPR. Tento článok analyzuje kľúčové zistenia správy a odhaľuje, s akými problémami zápasia firmy aj štátne inštitúcie pri odstraňovaní našich digitálnych stôp a kde európske firmy a inštitúcie robia najväčšie chyby.
Predstavte si, že by ste každú chybu z minulosti, každú starú fotografiu alebo neuvážený nákup museli so sebou niesť po zvyšok života. V digitálnom svete to tak kedysi bolo. Potom prišlo GDPR a s ním „právo na vymazanie“. Najnovšia celoeurópska správa však ukazuje, že cesta k digitálnemu zabudnutiu je plná byrokratických pascí a technických prekážok.
Čo je to vlastne „právo na zabudnutie“?
Skôr než sa ponoríme do zistení kontrolórov, musíme si vysvetliť základný pojem. Právo na vymazanie (často nazývané aj „právo na zabudnutie“) je definované v článku 17 nariadenia GDPR (General Data Protection Regulation – Všeobecné nariadenie o ochrane údajov).
V jednoduchosti povedané: Ide o vašu zákonnú možnosť požiadať akúkoľvek firmu, e-shop, banku alebo štátny úrad, aby odstránili všetky informácie, ktoré o vás uchovávajú.
Kedy na to máte nárok?
Keď už údaje nie sú potrebné na účel, na ktorý sa zbierali (napr. ste zrušili účet v e-shope).
Keď odvoláte svoj súhlas (napr. s odoberaním newslettra).
Keď boli údaje spracúvané nezákonne.
Veľká európska razia – Čo zistil EDPB?
V priebehu roka 2025 sa 32 dozorných orgánov (u nás je to Úrad na ochranu osobných údajov) pozrelo na prsty 764 organizáciám naprieč celou Európou. Táto akcia sa nazývala CEF (Coordinated Enforcement Framework – Koordinovaný rámec presadzovania). Išlo o doteraz najväčší audit toho, ako firmy reagujú, keď im napíšete: „Mažte moje dáta!“
Kto sú najväčší „hriešnici“?
Zaujímavým zistením je, že najviac žiadostí o vymazanie smeruje do súkromného sektora, najmä k online obchodníkom a poskytovateľom digitálnych služieb. Verejná správa (úradov, školy, nemocnice) dostáva žiadostí minimum.
Prečo je to tak? Laicky povedané: Ľudia sa viac boja o to, čo o nich vie Google alebo miestny predajca elektroniky, než o to, čo o nich vie štát. Zároveň však v štátnej správe existuje množstvo zákonov, ktoré kážu údaje uchovávať (napr. daňové dokumenty), takže komplexné mazanie je tam často právne nemožné.
„Vybavíme to... niekedy.“
Jedným z kľúčových pravidiel GDPR je, že firma musí na vašu žiadosť odpovedať bez zbytočného odkladu, najneskôr do jedného mesiaca. Správa EDPB však odhalila, že mnohé firmy tento termín vnímajú skôr ako „orientačný“. Často chýba akékoľvek potvrdenie o prijatí žiadosti, takže používateľ týždne netuší, či sa niečo deje.
Sedem smrteľných hriechov pri narábaní s naším súkromím
Kontrola identifikovala sedem hlavných oblastí, kde európske organizácie zlyhávajú. Poďme si ich vysvetliť ľudskou rečou.
1. Chýbajúca „kuchárska kniha“ (Interné postupy)
Mnoho firiem nemá spísaný presný postup, čo má zamestnanec urobiť, keď mu príde e-mail so žiadosťou o vymazanie. V praxi to vyzerá tak, že e-mail si pohadzujú medzi oddeleniami, až kým naň niekto nezabudne. Správa zdôrazňuje, že bez „papierového“ postupu je súlad s právom len vecou náhody.
2. Personál v informačnej hmle
Často sa stáva, že zamestnanec na zákazníckej linke ani netuší, čo je to článok 17 GDPR. EDPB zistil kritický nedostatok školení. Ak pracovník prvého kontaktu nevie identifikovať žiadosť o vymazanie, proces sa zastaví skôr, než vôbec začal.
3. Príliš zložité „ako na to“
Skúste niekedy nájsť na stránke veľkej korporácie návod, ako požiadať o vymazanie údajov. Často je to ukryté v 50-stranových „Podmienkach ochrany súkromia“ napísaných právnickou hatlaninou. A aj to ak vôbec. Väčšinou ide len o formálne splnenie si tkz. Informačnej povinnosti. Kontrolóri volajú po transparentnosti, teda po tom, aby firmy na webe jasne a jednoducho napísali: „Ak chcete vymazať svoje údaje, kliknite sem alebo napíšte na tento e-mail.“ Je ale pravdou, že webová stránka nie je povinný informačný kanál. Napriek tomu sa kontrolóri radi spýtajú prečo ste nevyužili takýto „fantastický“ komunikačný kanál.
4. Dilema výnimiek: Kedy mi nemusia vyhovieť?
Toto je najzložitejšia časť. Právo na vymazanie nie je „všemocné tlačidlo Delete“. Firma môže vašu žiadosť zamietnuť, ak napríklad:
Musí údaje uchovávať kvôli zákonu (napr. faktúry kvôli daniam).
Údaje sú potrebné na uplatnenie právnych nárokov (napr. súdny spor).
Ide o slobodu prejavu (napr. novinársky článok).
Správa zistila, že firmy často nevedia tieto výnimky správne posúdiť a buď vymažú aj to, čo nesmú, alebo (častejšie) odmietnu vymazať všetko s vágne formulovanou výhovorkou.
5. Nekonečné skladovanie údajov (Retenčné doby)
Retenčná doba je odborný termín pre „dobu trvanlivosti“ vašich údajov. Firma by mala mať presne stanovené, že napríklad záznam o vašom nákupe uchováva 2 roky a potom ho automaticky zmaže. Kontrola ukázala, že mnohé firmy si údaje nechávajú „pre strýčka Príhodu“ navždy, čo je v priamom rozpore s duchom GDPR.
6. Duchovia v zálohách (Back-upy)
Toto je technický oriešok. Aj keď firma vymaže vaše meno zo svojej aktívnej databázy, to meno stále zostáva v tzv. zálohách (bezpečnostných kópiách systému). Vymazať jednu konkrétnu osobu zo zálohy, ktorá obsahuje milióny mien, je technicky nesmierne náročné a drahé. Mnohí prevádzkovatelia to preto jednoducho ignorujú, dúfajúc, že sa na to nepríde. Otázkou je, či by na nich platil vyjadrenie nariadenia GDPR: „prevádzkovateľ primerane svojim možnostiam ... .“
7. Falošné mazanie (Anonymizácia)
Niektoré firmy tvrdia: „My sme vaše údaje nevymazali, ale anonymizovali.“ To znamená, že odstránili vaše meno a nahradili ho kódom (napr. Používateľ_123). Problém je, že ak firma stále vie tento kód spojiť s vašou IP adresou alebo históriou nákupov, nejde o anonymizáciu, ale skôr o tzv. pseudonymizáciu (hoci aj toto nie je úplne presné vyjadrenie). Podľa správy EDPB si veľa firiem tieto pojmy pletie a mylne sa domnievajú, že dáta „vymazali“, hoci sú stále ľahko identifikovateľné.
Čo nás čaká ďalej?
Rok 2026 bude v znamení sprísňovania. Európski dozorní úradníci po tejto analýze nebudú len nečinne sedieť. Správa obsahuje jasný odkaz:
Budú padať pokuty: Kontrolné orgány už avizovali, že v prípadoch, kde zistili vážne systémové chyby (napr. úplná absencia procesov), začnú formálne správne konania.
Nové metodiky: EDPB pripravuje jasnejšie pravidlá pre firmy, ako riešiť technické problémy so zálohami a anonymizáciou.
Väčší dôraz na technológie: Firmy sa už nebudú môcť vyhovárať na to, že „systém to neumožňuje“. GDPR presadzuje princíp Privacy by Design, teda, že systémy musia byť od začiatku navrhnuté tak, aby sa v nich dali údaje ľahko mazať.
Záverečné zhrnutie
Európa urobila obrovský krok vpred tým, že nám dala právo na digitálne zabudnutie. Avšak, ako ukazuje správa EDPB, papier (alebo obrazovka monitora) znesie veľa, no realita v serverovniach firiem je oveľa komplikovanejšia.
Ako občania by sme sa však nemali nechať odradiť. Práve využívaním nášho práva na vymazanie nútime organizácie, aby investovali do lepšieho zabezpečenia a transparentnosti. Naše súkromie nie je tovar, ale základné právo, a táto správa je dôležitým mementom pre každú firmu, ktorá na to zabudla.
