Co znamená omezení uložení osobních údajů? A kdy se používá?

Nařízení o ochraně osobních údajů pojednává o celé řadě zásad. Jednou z nich je tzv. omezené uložení osobních údajů. 

Tato zásada říká, že osobní data budou uložena pouze na dobu nezbytně nutnou k dosažení daného účelu zpracování. Po uplynutí této doby by měly být osobní údaje automaticky vymazány.

Příručka pro přípravu malých a středních firem na GDPR popisuje situace, kterých se zásada týká. Jde například o jednorázové nákupy na internetu. 

Jednorázový nákup na internetu

Jak uvádí příručka, po realizaci jednorázového nákupu ve specializovaném e-shopu by osobní údaje zákazníka měly být uchovány pouze po dobu nezbytně nutnou pro uplatnění jeho případného nároku z vad zboží, maximálně pak na dobu, po kterou zákazník udělil svůj souhlas se zasíláním obchodních sdělení e-shopu. Přichází však v úvahu i oprávněný zájem na uchování osobních údajů i po delší dobu – tento oprávněný zájem je však třeba přesně identifikovat a zákazníka o něm informovat. Jeho příkladem může být dlouhodobé sledování situace na trhu. 

Stejně tak by měla být po uplynutí určité doby po jednorázové návštěvě například ZOO, akvaparku, kulturní akce nebo využití jakékoli jiné služby smazána osobní data návštěvníků, kteří si například zakoupili vstupenky online nebo svůj nákup platili kartou. Anebo pokud je jejich pohyb po areálu poskytovatele služby nějakým způsobem monitorován.

Pravidelnost nákupu či věrnostní programy mění situaci

Jiná je samozřejmě situace tam, kde je subjekt údajů pravidelným uživatelem služby, účastní se věrnostního návštěvnického programu nebo udělil svůj explicitní souhlas s dalším zasíláním obchodních sdělení poskytovatele služby.

Firmy v tomto často porušují nařízení 

Automatický výmaz údajů poté, co jejich zpracování přestalo být nutné pro daný účel zpracování, dosud v českém prostředí není zvykem – data se (a to často duplicitně či vícenásobně v různých evidencích a informačních systémech) uchovávají pro eventuální budoucí potřebu, aniž by si firmy uvědomovaly, že tím porušují již nyní platné předpisy. 

Současně jde i o zbytečnou komplikaci. Platí zde totiž, že čím více dat a čím více evidencí, tím větší riziko nepřesnosti údajů, jejich nadbytečnosti ve vztahu k účelu jejich zpracování a tím vyšší pravděpodobnost porušení zabezpečení údajů spojené s povinností toto porušení hlásit a nést důsledky v podobě náhrady škody nebo sankcí.

Další praktické příklady o aplikaci GDPR

• Jak si správně vytvářet evidenci o zákaznících a jejich objednávkách dle GDPR? 
• Po výběrovém řízení si ponechali životopisy neúspěšných uchazečů. Co na to GDPR? 
• Zneužívali auta pro osobní účely. Firma do nich proto dala GPS. Co na to GDPR? 
• Nechce být obtěžován telefonáty pro průzkum trhu. Firma musí námitku akceptovat
• Ukončil ve firmě pracovní poměr. Které údaje o něm může zaměstnavatel uchovat?
• Ztráta služebního notebooku nebo dokument s údaji v koši. Co je třeba hlásit?