Články označené ako BrandCom sú pripravené a publikované v spolupráci s komerčnými partnermi. Hoci redakcia TRENDU nie je ich autorom, ich obsah považuje za prínosný pre čitateľa a preto umožnila ich publikovanie. Viac o BrandCom

BLOG Marek Frecer

Kedy musia spoločnosti začať likvidovať osobné údaje?

07.10.2019 | Marek Frecer

Po prvom roku od zavedenia prísnej regulácie GDPR sa firmy posúvajú do fázy, že musia riešiť, ako ďalej nakladať s osobnými údajmi, ktoré získali a získavajú.

  • Tlačiť
  • 12

Pokiaľ nemajú pripravené plány na likvidáciu osobných údajov v súlade s legislatívou, hrozia firmám vysoké pokuty a aj riziko zneužitia údajov s fatálnymi dôsledkami. Pre správnu likvidáciu a zníženie rizika pokuty si musia spoločnosti zodpovedať prvú otázku: kedy osobné údaje likvidovať?

Povinnosť uchovávať osobné údaje iba po minimálnu potrebnú dobu a následne ich likvidovať platí pre všetky spoločnosti. Táto povinnosť priamo vyplýva z Všeobecného nariadenia o ochrane osobných údajov – GDPR. Spoločnosti, ktoré naše osobné údaje spracúvajú, si ich teda majú vážiť: to znamená pracovať s nimi iba vtedy, pokiaľ je to nevyhnutné na ten účel, na ktorý sme im ich zverili. Následne by sme mali byť chránení pred tým, aby boli naše údaje využívané ďalej alebo na iné účely.

V dokumentárnom filme Netflixu The Great Hack sa jedna z hlavných postáv snaží získať údaje, ktoré o nej zhromažďovala a spracúvala spoločnosť Cambridge Analytica, ktorá ich pre zmenu získala od Facebooku. Cambridge Analytica nakoniec údaje nevydala, mala ich však vôbec mať? Nemali byť tieto údaje už dávno zlikvidované, a nie používané v cielenom politickom marketingu, ako to pravdepodobne bolo?

Ako dlho by mali spoločnosti naše osobné údaje uchovávať?

Samozrejme, spoločnosti musia spracúvať naše údaje počas doby, kým trvá účel, na ktorý sme im ich poskytli. To znamená, že mobilný operátor eviduje a spracúva naše osobné údaje, pokiaľ sme jeho zákazníkom. Je to potrebné: musí vedieť, na akú adresu zaslať faktúru alebo aký je dátum narodenia účastníka, aby ho vedel identifikovať. Čo však, keď zmením operátora? Pôvodný mobilný operátor alebo „prevádzkovateľ osobných údajov“ podľa GDPR už ďalej nemusí mať dôvod, aby naše údaje spracúval. Musí ich ihneď vymazať?

Prevádzkovateľ musí byť schopný identifikovať požiadavky na ďalšie uchovávanie alebo archiváciu osobných údajov. Osobné údaje sú totiž obsiahnuté v  dokumentoch, ktorých archiváciu po určitú dobu mu prikazujú iné zákony. Napríklad účtovné doklady ako faktúry (ktoré obsahujú osobné údaje) je potrebné archivovať dlhšiu dobu, podľa toho, ako to predpisujú daňové a účtovné predpisy.

Ak archiváciu osobných údajov žiadny predpis neurčuje, prevádzkovateľ si musí sám stanoviť a zdôvodniť primeranú archivačnú dobu. Pri údajoch zo zákazníckych zmlúv to môže byť napríklad obvyklá doba, v rámci ktorej je pravdepodobné očakávať reklamácie.

Prevádzkovatelia teda stoja pred neľahkou úlohou, aby vyriešili tento prvý z praktických problémov pri likvidácii údajov a určili, kedy osobné údaje likvidovať.

  • Musia mať presný prehľad o tom, ktoré typy údajov im prikazuje archivovať iná legislatíva: môžu to byť daňové predpisy, ale aj predpisy regulujúce archivovanie lekárskej dokumentácie a podobne.
  • Okrem toho musia mať prehľad o tom, ktoré typy údajov žiadna ďalšia legislatíva archivovať neprikazuje. Pri týchto si potom musia určiť, či údaje zlikvidujú okamžite po ukončení dôvodu na ich spracúvanie, alebo si ich nejaký čas nechajú. V prípade, ak sa rozhodnú pre to druhé, musia si určiť, ako dlho sú pre nich tieto typy údajov praktický potrebné. A najmä musia byť schopní riadne zdôvodniť, prečo sa rozhodli vybrané údaje uchovávať práve počas tejto doby.

Toto je jedna z otázok, ktoré určite položí regulátor pri kontrole: v našom prípade Úrad na ochranu osobných údajov.

A vy viete, ako dlho uchovávate vo vašej organizácii jednotlivé typy osobných údajov? A vedeli by ste to v prípade kontroly odôvodniť?

  • Tlačiť
  • 12

Marek Frecer

Marek Frecer
  • Počet článkov: 2
  • Priemerná čítanosť: 763
  • Priemerná diskutovanosť: 7
  • RSS blogu

O blogu

Ako odborník na ochranu osobných údajov vždy hľadám praktické a jednoduché riešenia pre implementáciu legislatívy v oblasti GDPR do firemného života. Viac ako desať rokov pracujem v oblasti auditu a poradenských služieb. Ako senior manažér v PwC Slovensko mám možnosť vidieť moje riešenia v praxi v rôznych odvetviach.

Marek Frecer

Marek Frecer
  • Počet článkov: 2
  • Priemerná čítanosť: 763
  • Priemerná diskutovanosť: 7
  • RSS blogu

O blogu

Ako odborník na ochranu osobných údajov vždy hľadám praktické a jednoduché riešenia pre implementáciu legislatívy v oblasti GDPR do firemného života. Viac ako desať rokov pracujem v oblasti auditu a poradenských služieb. Ako senior manažér v PwC Slovensko mám možnosť vidieť moje riešenia v praxi v rôznych odvetviach.

Kalendár sa načítava...