Práva dotknutých osôb podľa GDPR – čo by mal vedieť každý?

Peter Jurak

Práva dotknutých osôb podľa GDPR – čo by mal vedieť každý?GDPR (Všeobecné nariadenie o ochrane údajov) sa často spája s „papierovaním“ a hrozbou pokút. V praxi je však jeho najdôležitejšia časť inde: v právach dotknutých osôb, teda ľudí, ktorých osobné údaje firmy, školy, e-shopy, obce či zamestnávatelia spracúvajú.

A práve tu vzniká najviac chýb. Nie preto, že by firmy nechceli dodržiavať zákon, ale preto, že nemajú nastavené procesy. Výsledok je potom stres, zbytočné naťahovanie sa s úradmi, nespokojní zákazníci a chaos v dokumentoch.

V tomto článku vám vysvetlím práva dotknutých osôb podľa GDPR tak, aby ste vedeli:

  • aké práva ľudia majú a kedy sa uplatňujú,
  • čo je firma povinná spraviť a v akých lehotách,
  • kde sa najčastejšie robia chyby,
  • ako si to nastaviť jednoducho a „legislatívne bezpečne“, aby ste si uľahčili byrokraciu.

Kto je dotknutá osoba a prečo na jej právach záleží?

Dotknutá osoba je každý človek, ktorého osobné údaje spracúvate. Môže to byť zákazník, zamestnanec, uchádzač o prácu, návštevník webu, pacient, žiak, účastník súťaže alebo aj človek, ktorého máte v CRM databáze.

Práva dotknutých osôb sú praktický mechanizmus kontroly nad údajmi. A pre firmu je to zároveň test pripravenosti. Ak neviete rýchlo odpovedať na žiadosť o prístup, výmaz či námietku, nie je to len „GDPR problém“. Je to signál, že:

  • neviete presne, aké údaje máte a kde,
  • nemáte jasné účely a právne základy,
  • nemáte nastavené interné role, postupy a šablóny,
  • môžete mať riziká aj v bezpečnosti a v zmluvách so sprostredkovateľmi.

Dobre nastavené procesy k právam dotknutých osôb firmám šetria čas aj peniaze. A hlavne znižujú riziko konfliktov. Riešením môže byť aktualizácia dokumentov podľa GDPR alebo posudenie oprávneného záujmu pre kamerový systém.

Základné pravidlá, ktoré platia pri každom práve

Skôr než pôjdeme po jednotlivých právach, oplatí sa poznať „kostru“ GDPR odpovedí:

  1. Identifikácia žiadateľa
  2. Musíte si overiť, že žiadosť podáva správna osoba. Zároveň nesmiete pýtať viac, než je potrebné. Pri citlivých situáciách je bezpečnejšie použiť primerané overenie (napr. prihlásenie do účtu, kontrolná otázka, podpis, potvrdenie e-mailu).
  3. Lehota na vybavenie je spravidla 1 mesiac
  4. Vo väčšine prípadov platí, že musíte odpovedať do jedného mesiaca od doručenia žiadosti. V zložitých prípadoch sa lehota môže predĺžiť o ďalšie 2 mesiace, ale musíte to včas odôvodniť a oznámiť.
  5. Informácie majú byť jasné a zrozumiteľné
  6. Žiadne právnické vety na dve strany. Odpoveď má byť vecná, konkrétna a pre človeka pochopiteľná.
  7. V zásade bez poplatku
  8. Poplatok môžete pýtať len výnimočne, najmä pri zjavne neprimeraných alebo opakovaných žiadostiach. V praxi je to citlivé a treba to vedieť obhájiť.
  9. Musíte viesť evidenciu
  10. Aj jednoduchý interný záznam, kedy prišla žiadosť, kto ju riešil, čo sa posielalo a kedy bola uzavretá, výrazne znižuje riziko problémov pri kontrole.

1) Právo na informácie (transparentnosť)

Prvé a najčastejšie porušované právo je právo byť informovaný. Dotknutá osoba má vedieť napríklad:

  • kto spracúva jej údaje (správca, kontakty),
  • na aký účel a na akom právnom základe,
  • komu sa údaje poskytujú (príjemcovia, sprostredkovatelia),
  • ako dlho sa údaje uchovávajú,
  • aké práva má a ako ich uplatní,
  • či prebieha automatizované rozhodovanie alebo profilovanie,
  • ako podať sťažnosť na dozorný orgán.

Toto právo sa najčastejšie napĺňa cez:

  • informačné povinnosti pri zbere údajov (napr. na formulári),
  • zásady ochrany osobných údajov na webe,
  • zamestnanecké informácie pri HR (nástup, kamerový systém, dochádzka).

Z pohľadu firmy je výhodné mať tieto texty dobre pripravené. Nie preto, aby boli „dlhé“, ale aby boli správne a presné. Dobrý dokument vám zníži počet otázok a

2) Právo na prístup k údajom

Dotknutá osoba má právo získať potvrdenie, či spracúvate jej údaje, a ak áno, má právo dostať:

  • kópiu osobných údajov,
  • informácie o účeloch, príjemcoch, dobe uchovávania, zdroji údajov a podobne.

Častý omyl firiem: poslať len „všeobecné“ info bez reálnej kópie údajov, alebo naopak poslať príliš veľa a omylom vydať údaje inej osoby.

Praktický tip: majte pripravené, odkiaľ viete údaje vyexportovať (CRM, e-shop, e-mailing, HR systém, dochádzka, ticketing, kamerový systém). Právo na prístup je v praxi najväčšia skúška toho, či máte poriadok v evidencii spracovateľských činností a v systémoch.

3) Právo na opravu

Ak sú údaje nepresné alebo neúplné, dotknutá osoba môže žiadať opravu alebo doplnenie.

V realite ide často o:

  • zlé kontaktné údaje,
  • nesprávnu adresu,
  • zmenené priezvisko,
  • nesprávne údaje v zákazníckom profile,
  • chybu v HR evidencii.

Z pohľadu legislatívy je dôležité vedieť preukázať, že údaje držíte aktuálne a že opravy sa premietajú aj tam, kde treba (napr. v integráciách medzi systémami).

4) Právo na výmaz („právo byť zabudnutý“)

Toto je právo, ktoré ľudia poznajú najviac, ale zároveň sa okolo neho šíri najviac mýtov.

Dotknutá osoba môže žiadať výmaz najmä vtedy, keď:

  • údaje už nie sú potrebné na pôvodný účel,
  • odvolá súhlas a neexistuje iný právny základ,
  • namieta a neexistujú nadradené oprávnené dôvody,
  • údaje sa spracúvali nezákonne.

Pozor: právo na výmaz nie je absolútne. Firma často musí niektoré údaje ponechať, napríklad:

  • kvôli účtovníctvu a daňovým povinnostiam (faktúry),
  • kvôli preukazovaniu právnych nárokov (reklamácie, spory),
  • kvôli zákonným archivačným povinnostiam.

Správny postup je často „kombinovaný“: vymazať to, čo sa dá, a zvyšok obmedziť, minimalizovať a držať len po nevyhnutnú dobu.

Z praxe: firmy si vedia ušetriť množstvo práce, keď majú nastavené retenčné lehoty a automatické výmazové politiky. Inak výmaz končí ako manuálny lov v e-mailoch a excel tabuľkách, čo je presne tá byrokracia, ktorú nechcete.

5) Právo na obmedzenie spracúvania

Obmedzenie znamená, že údaje síce ponecháte, ale ďalej ich aktívne nepoužívate (napríklad na marketing), kým sa vec nevyrieši.

Uplatňuje sa napríklad, keď:

  • osoba spochybňuje presnosť údajov (kým sa overí),
  • spracúvanie je nezákonné, ale osoba nechce výmaz,
  • údaje už nepotrebujete, ale osoba ich chce na uplatnenie právnych nárokov,
  • prebieha posudzovanie námietky.

Pre firmy je to užitočný nástroj: nie vždy je rozumné „všetko vymazať“. Obmedzenie je často bezpečnejšie a lepšie obhájiteľné.

6) Právo na prenosnosť údajov

Toto právo sa týka údajov, ktoré:

  • spracúvate automatizovane,
  • spracúvate na základe súhlasu alebo zmluvy,
  • a ktoré osoba poskytla.

Osoba má právo získať údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, prípadne ich preniesť inému poskytovateľovi.

Typicky sa s tým stretnete v digitálnych službách, online platformách, e-shopoch, členských systémoch alebo aplikáciách.

Prakticky: je dobré mať pripravené exporty (napr. CSV, JSON) a vedieť presne, ktoré údaje do prenosnosti patria a ktoré nie (napr. interné poznámky firmy často nepatria).

7) Právo namietať (najmä pri oprávnenom záujme a marketingu)

Ak spracúvate údaje na základe oprávneného záujmu, dotknutá osoba môže namietať. Vy potom musíte posúdiť, či máte:

  • závažné oprávnené dôvody, ktoré prevažujú nad právami osoby, alebo
  • dôvody na uplatnenie právnych nárokov.

Špeciálne pravidlo: pri priamom marketingu je situácia jednoduchšia. Ak osoba namieta voči priamemu marketingu, spracúvanie na tento účel sa má zastaviť.

Tu sa často robia chyby v e-mailingu. Firmy zamieňajú odhlásenie zo newslettera so „zastavením spracúvania“ v širšom zmysle. Správne nastavenie je mať:

  • evidenciu odhlásení,
  • tzv. „blocklist“ (zoznam, kam sa kontakt uloží, aby sa omylom znovu nezaradil),
  • jasne nastavené zdroje kontaktov a právne základy.

V týchto prípadoch môže byť užitočné mať zodpovednú osobu, ktorá bude mať prehľad

8) Právo odvolať súhlas

Ak spracúvate údaje na základe súhlasu, osoba ho môže kedykoľvek odvolať. Odvolanie musí byť rovnako jednoduché ako udelenie.

Dôležité body:

  • odvolanie súhlasu nemá spätný účinok, spracúvanie pred odvolaním je legálne,
  • po odvolaní však musíte spracúvanie na základe súhlasu zastaviť, pokiaľ nemáte iný právny základ.

Z praxe: problémy vznikajú, keď firmy používajú súhlas „na všetko“. Potom sa odvolanie súhlasu zmení na internú krízu. Legislatívne aj procesne je lepšie mať právne základy rozumne rozdelené (zmluva, zákonná povinnosť, oprávnený záujem, súhlas len tam, kde je naozaj potrebný).

9) Práva pri automatizovanom rozhodovaní a profilovaní

Ak firma používa automatizované rozhodovanie, ktoré má právne alebo podobne významné účinky na osobu (napríklad automatické zamietnutie služby), osoba má právo:

  • na ľudský zásah,
  • vyjadriť svoje stanovisko,
  • napadnúť rozhodnutie.

Toto je čoraz aktuálnejšie pri scoringu, automatizácii v HR, online overovaní a pri niektorých AI postupoch. Pre firmy je dôležité vedieť pomenovať, čo je automatizované rozhodovanie podľa GDPR a čo „len“ automatizácia bez významného účinku.

10) Právo podať sťažnosť

Dotknutá osoba má právo podať sťažnosť dozornému orgánu. V praxi sa mnohým sťažnostiam dá predísť, keď firma:

  • odpovie včas,
  • komunikuje slušne a vecne,
  • vysvetlí právny základ,
  • ponúkne riešenie (oprava, obmedzenie, výmaz tam, kde je možný).

Toto nie je len právna téma. Je to aj reputácia a zákaznícka skúsenosť.

Najčastejšie chyby firiem pri právach dotknutých osôb

Z praxe sa opakujú najmä tieto problémy:

  1. Neexistuje interný proces: nikto nevie, kto žiadosti preberá, kam sa ukladajú, kto schvaľuje odpoveď.
  2. Nedodržané lehoty: žiadosť ostane v e-maile a „zapadne“.
  3. Slabé overenie identity: firma buď vyžiada prehnané údaje, alebo naopak poskytne údaje nesprávnej osobe.
  4. Nejednotné systémy: údaje sú roztrúsené v e-mailoch, excel súboroch, viacerých CRM a u externistov.
  5. Nesprávne chápanie výmazu: „vymažeme všetko“ (a porušíme zákonné povinnosti) alebo „nevymažeme nič“ (a porušíme práva osoby).
  6. Chýbajúce zmluvy so sprostredkovateľmi: firma nevie, ako zabezpečiť výmaz alebo export u dodávateľa.
  7. Zlá dokumentácia: pri kontrole neviete preukázať, čo sa urobilo a prečo.

Dobrá správa je, že väčšina z toho sa dá vyriešiť nastavením pár praktických krokov.

Ako si to nastaviť vo firme tak, aby ste mali pokoj (a menej byrokracie)

Ak to chcete mať profesionálne, ale zároveň jednoducho, odporúčam postup, ktorý firmám reálne funguje:

  1. Jasný kontaktný bod
  2. Jeden e-mail alebo formulár pre žiadosti dotknutých osôb. Zamestnanci musia vedieť, že keď taká žiadosť príde na podporu alebo recepciu, má sa presmerovať.
  3. Interná smernica a krátky postup (workflow)
  4. Kto prijme žiadosť, kto overí identitu, kto spraví exporty, kto pripraví odpoveď, kto ju schváli a odošle.
  5. Šablóny odpovedí
  6. Pre prístup, výmaz, opravu, námietku, obmedzenie. Šablóny šetria čas a znižujú riziko, že v strese napíšete niečo nepresné.
  7. Mapa systémov a miest, kde sú údaje
  8. CRM, e-shop, fakturačný systém, e-mail marketing, helpdesk, HR, cloudové úložiská. Keď viete, kde údaje sú, žiadosti vybavíte rýchlejšie.
  9. Retenčné lehoty a pravidlá výmazu
  10. Aby ste nemuseli pri každej žiadosti „vymýšľať od nuly“, čo sa maže a čo sa musí ponechať.
  11. Zmluvy so sprostredkovateľmi
  12. Najmä s IT dodávateľmi, marketingovými nástrojmi, cloudom, účtovníctvom. V zmluve majú byť jasné povinnosti pri asistencii so žiadosťami.
  13. Evidencia žiadostí (register)
  14. Jednoduchá tabuľka stačí, ale musí existovať. Bez toho neviete preukázať súlad, a zároveň si neviete strážiť lehoty.

Toto je presne typ nastavenia, ktorý firmám znižuje legislatívne riziko a zároveň uľahčuje administratívu. Keď sa to spraví raz poriadne, už to nie je každodenná „GDPR otrava“.

Čo si z článku odniesť

Práva dotknutých osôb nie sú len právna povinnosť. Sú to situácie, ktoré sa skôr či neskôr stanú v každej firme, ktorá pracuje s osobnými údajmi. Kto má procesy, zvládne ich pokojne, rýchlo a bez zbytočných konfliktov. Kto procesy nemá, rieši stres, improvizáciu a riziko sťažností.

Ak chcete mať v tejto oblasti poriadok konzultantsky profesionálne, ale prakticky a bez zbytočnej byrokracie, kľúč je jednoduchý: jasný postup, šablóny, evidencia a prehľad o tom, kde údaje reálne sú. Potom sa z GDPR nestane strašiak, ale normálna súčasť riadenia firmy.

Často kladené otázky

Čo je to GDPR a prečo je dôležité pre firmy a organizácie?

GDPR (Všeobecné nariadenie o ochrane údajov) je zákon, ktorý chráni osobné údaje ľudí. Pre firmy, školy, e-shopy či obce je dôležité dodržiavať GDPR, aby správne spracúvali údaje svojich zákazníkov, zamestnancov či návštevníkov a vyhli sa pokutám či konfliktom.

Kto je dotknutá osoba podľa GDPR?

Dotknutá osoba je každý človek, ktorého osobné údaje spracúvate – môže to byť zákazník, zamestnanec, uchádzač o prácu, návštevník webu, žiak alebo aj človek v CRM databáze.

Aké práva majú dotknuté osoby podľa GDPR?

Dotknuté osoby majú právo na prístup k svojim údajom, opravu nesprávnych údajov, výmaz údajov, obmedzenie spracovania, prenosnosť údajov a právo namietať proti spracovaniu.

Ako dlho má firma čas na vybavenie žiadosti dotknutej osoby?

Firma musí spravidla odpovedať na žiadosť do jedného mesiaca od jej doručenia. V zložitých prípadoch sa lehota môže predĺžiť o ďalšie 2 mesiace za podmienky včasného odôvodnenia a oznámenia.

Aké sú základné pravidlá pri vybavovaní žiadostí podľa GDPR?

Pri vybavovaní žiadostí je potrebné overiť totožnosť žiadateľa primeraným spôsobom bez nadmerného zisťovania údajov. Odpovede musia byť jasné, zrozumiteľné a spravidla bez poplatku, okrem výnimočných prípadov.

Prečo je dôležité mať nastavené procesy na vybavovanie práv dotknutých osôb?

Dobre nastavené procesy pomáhajú firmám rýchlo a efektívne reagovať na žiadosti dotknutých osôb, znižujú riziko chýb, stresu a konfliktov s úradmi či zákazníkmi a zároveň šetria čas aj peniaze.

Kontaktujte nás a dohodnite si bezplatnú konzultáciu:

Kontaktný formulár
gdpro

Pomoc s GDPR pre
podnikateľov

WebPomoc s.r.o.
Znievska 32
851 06 Bratislava
IČO: 46 465 375

info@gdpro.sk0919-888-880
GDPRvzor.skNariadenieGDPR.euBOZPRO.sk

© 2026 Powered by Webpomoc