Vyvíjím webovou stránku, kde mají uživatelé možnost registrace a psaní komentářů pod články. Komentáře jsou veřejné a zůstávají online na dobu neurčitou, pokud se uživatel nerozhodne využít svého "práva být zapomenut" podle GDPR. V takovém případě jsou data pseudonymizována (fakticky odstraněna). GDPR mi ale zároveň nařizuje, že musím po ještě "určit přiměřenou lhůtu, po jejímž uplynutí bude v případě nečinnosti uživatel považován za neaktivní, a osobní údaje musí být vymazány." Znamená to tedy, že jsem povinen po uplynutí určité doby, např. rok, neaktivní uživatelské účty odstranit a pseudonymizovat včetně všech komentářů? Nebo mohu komentáře ponechat, ale odstranit pouze uživatelské jméno, IP adresa a e-mail? Mé dilema spočívá v tom, že když to udělám (odstraním identifikaci, ale ponechám komentáře), znemožním uživatelům pozdější využití "práva být zapomenut", protože se ze systému ztratí veškeré jejich identifikátory. Jsem tedy povinen všechny účty po určité době neaktivity mazat včetně veřejných komentářů, nebo mohu účty ponechat i s komentáři vzhledem k tomu, že jsou komentáře zveřejňovány "na neurčito", a účel uchovávání osobních údajů tak stále trvá? Děkuji mnohokrát.
_________________________________
Doplňující dotaz:
Děkuji Vám za odpověď. Mé vědění vychází čistě z neověřených zdrojů, jako je rozhovor s chatbotem nebo texty uvedené v softwarovém řešení pro web "Akeeba Data Compliance", které zajišťuje implementaci GDPR problematiky na mém webu. (Zároveň je tam ale poznamenáno, že se nejedná o právní poradenství a že je vhodné konzultovat tyto záležitosti s právníkem.) Je tam mj. uvedeno, že "GDPR vyžaduje uchovávat data pouze po dobu, kdy jsou potřebná". Mé softwarové řešení převzaté/stažené od třetí strany také přímo obsahuje skripty a konstrukce, které webovým administrátorům umožňují po určité době neaktivity automaticky veškeré uživatelské účty a jejich veřejné komentáře a osobní údaje s nimi spojené anonymizovat, pakliže se uživatel alespoň ke svému účtu nepřihlásil.
Proto jsem se obrátil na Vás se svým dilematem, zda je požadavkům GDPR učiněno za dost, pokud má uživatel/komentující na mém webu možnost využít "práva být zapomenut" tím, že ručně smaže svůj uživatelský účet, a s ním i všechny své veřejné komentáře a osobní data, nebo zda z toho pro mě vyplývají jako pro webového administrátora ještě další povinnosti, jako zajistit automatickou anonymizaci všech neaktivních uživatelských účtů po určité stanovené lhůtě, dejme tomu 1 rok. A to i přesto, že komentáře ze své povahy nepovažuji za dočasnou, ale za trvalou součást mého webu, jakmile jsou jednou napsány. Pokud si to uživatel sám do budoucna nerozmyslí.
A pokud ano, tak co potom anonymní komentáře, jenž web také umožňuje a které nejsou přiřazeny k žádnému uživatelskému účtu - musí být také automaticky po uplynutí dané lhůty smazány (vč. navazujících osobních údajů, jako je IP adresa nebo e-mail)? Mnohokrát Vám děkuji.
GDPR a veřejné komentáře na webu - automatická anonymizace nebo mazání v čase
- Základní údaje
- Uložil(a): Mgr. Lukáš Mohyla (právník)
- Kategorie: Nezařazené, GDPR
- Zobrazení: 77
Je samozřejmě pravdou, že GDPR vyžaduje uchovávat osobní údaje pouze po dobu, kdy jsou potřebné – jedná se o jeden ze základních principů zpracovávání osobních údajů.
Vámi popsané dilema skutečně existuje, jelikož a/ každý uživatel může uplatnit právo být zapomenut a zároveň b/ Vy, jako správce osobních údajů uživatelů, budete povinen stanovit maximální dobu zpracování osobních údajů (po jejímž uplynutí musí být osobní údaje vymazány). Může tak skutečně nastat situace, kdy dojde k výmazu uživatelského účtu, přičemž uživatel (resp. bývalý uživatel) nebude mít následně možnost smazat i své komentáře (jelikož již nebude možné je propojit s jeho – již neexistujícím – uživatelským profilem.
Výše popsanou situaci však lze vyřešit vhodným nastavením vnitřních pravidel Vašeho webu (resp. pravidel zpracování osobních údajů), a to zejména:
- bude nutné přesně specifikovat, na co se vztahuje právo být zapomenut (tzn. zda dojde pouze k výmazu osobních údajů – tedy uživatelského účtu, anebo zda budou odstraněny i zveřejněné komentáře – jelikož tyto komentáře samy o sobě nejsou osobními údaji),
- bude nutné stanovit maximální dobu (nanejvýš pět let), po jejímž uplynutí (v případě trvající pasivity uživatele) bude uživatelský účet vymazán,
- bude nutné stanovit, zda po uplynutí určité doby pasivity uživatele dojde i k výmazu všech jeho komentářů (jelikož ty samy o sobě nejsou osobními údaji),
- do vnitřních pravidel webu bude žádoucí napsat, že může nastat Vámi zmiňovaná situace – tzn. že po uplynutí stanovené doby dojde k výmazu uživatelského účtu, ovšem uveřejněné komentáře zůstanou součástí webu (pokud zvolíte tuto variantu), přičemž při pozdějším uplatnění práva být zapomenut se může stát, že komentáře již nebudou dodatečně smazány (jelikož nebude možné je propojit s konkrétním uživatelským účtem).
Je zapotřebí, aby byly uživatelé při zakládání uživatelského účtu podrobně informováni o tom, jak bude s jejich osobními údaji nakládáno, jaká jsou jejich s tím související práva a jak bude s jejich osobními údaji naloženo, pakliže a/ zůstanou po stanovenou dobu pasivní a b/ uplatní právo být zapomenut.
Při zakládání uživatelského účtu by měl každý uživatel potvrdit, že Vámi nastavená pravidla (týkající se zpracování osobních údajů) bere na vědomí.
Pro získání dalšího právního názoru Vám doporučuji obrátit se s tímto dotazem ještě na dozorový orgán, kterým je Úřad pro ochranu osobních údajů:
______________________________
Právní předpisy zmiňované v odpovědi:
- nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
