Osobní údaje nelze ukládat navěky

21 Máj 2019

Osobní údaje nelze ukládat navěky

Každý nákup přes internet si žádá uvedení osobních údajů, které mohou být uchovány pouze na nezbytnou dobu. Mnohokrát se to ale porušuje. Nařízení o ochraně osobních údajů GDPR mluví o celé řadě zásad se zpracováním osobní údajů. Jednou z nich je tzv. omezení uložení osobních údajů. Tato zásada říká, že osobní data budou uloženy pouze na dobu nezbytně nutnou k dosažení daného účelu jejich zpracování. Po uplynutí této doby by měly být osobní údaje automaticky smazány. No funguje to tak i ve skutečnosti?

Jednorázový nákup na internetu

Podle GDPR, po realizaci jednorázového nákupu ve specializovaném e-shopu by osobní údaje zákazníka měly být uchovávány pouze na dobu nezbytně nutnou k uplatnění jeho případného nároku z důvodu poškození zboží. Maximálně však po dobu, na kterou zákazník udělil svůj souhlas se zasíláním obchodních sdělení.

Přichází však v úvahu oprávněný zájem na uchování osobních údajů po delší dobu, například z důvodu dlouhodobého sledování situace na trhu. Tento záměr je třeba přesně identifikovat a zákazníka o něm informovat.

Stejně by měly být po uplynutí určité doby smazaná osobní data návštěvníků po jednorázové návštěvě nebo využití jakékoli jiné služby. Týká se no například zákazníky, kteří si zakoupili vstupenky on-line nebo za svůj nákup platili kartou. Nebo pokud je jejich pohyb po areálu poskytovatele služby nějakým způsobem monitorován kamerou.

Pravidelnost nákupu či věrnostní programy

Situace je jiná, jestliže je subjekt pravidelným uživatelem služby, účastní se věrnostního zákaznického programu nebo udělil svůj výslovný souhlas s dalším zasíláním obchodních sdělení poskytovatele služby.

Firmy často porušují nařízení

Automatické vymazání údajů poté, co jejich zpracování přestalo být potřebné pro daný účel zpracování, dosud není zvykem. Data se, a to často duplicitně či vícenásobně v různých evidencích a informačních systémech, uchovávají pro eventuální budoucí potřebu, aniž by si firmy uvědomovali, že tím porušují už nyní platné předpisy.

Současně jde io zbytečnou komplikaci. Čím více dat a evidence firma má, tím je větší riziko nepřesnosti údajů a jejich nadbytečnosti ve vztahu k účelu jejich zpracování. Z tohoto plyne vyšší pravděpodobnost porušení bezpečnosti údajů spojených s povinností toto porušení hlásit a nést následky v podobě náhrady škody nebo možných sankcí. Předejít případným pokutám může firma, bude-li:

kontrolovat dobu uchovávání osobních údajů;
zvažovat účely, pro které je uchovává, při rozhodování o tom, zda a na jak dlouho je bude uchovávat;
bezpečně mazat a likvidovat údaje, které již pro tyto účely nejsou potřebné;
aktualizovat, archivovat nebo bezpečně vymazat údaje, které jsou zastaralé.

Jak dlouho je můžete uchovávat?

Odpověď je jednoduchá - co nejkratší. Tato doba by měla zohledňovat důvody, pro které firma potřebuje zpracovávat tyto údaje, jakož i právní závazky pro uchovávání údajů během pevně stanoveného času, například vnitrostátní právní předpisy o pracovní síle, daních nebo boji proti podvodům, které vám ukládají povinnost uchovávat osobní údaje o vašich zaměstnancích v určeném období během platnosti záruky za výrobek atd.

Firmy by si měly stanovit lhůty pro vymazání nebo přezkoumání uchovávaných osobních údajů. Výjimečně se osobní údaje mohou uchovávat i déle s cílem archivace ve veřejném zájmu či z důvodů vědeckého nebo historického výzkumu. Firma také musí zajistit, aby uchovávané údaje byly správné a aktualizované.