Hlavní navigace

Co znamená omezení uložení osobních údajů? A kdy se používá?

Jana Knížková

Každý nákup přes internet si žádá uvedení osobních údajů. Ty však mohou být uchované na dobu pouze nezbytně nutnou. Mnohdy se tak neděje.

Doba čtení: 2 minuty

Nařízení o ochraně osobních údajů pojednává o celé řadě zásad. Jednou z nich je tzv. omezené uložení osobních údajů. 

Tato zásada říká, že osobní data budou uložena pouze na dobu nezbytně nutnou k dosažení daného účelu zpracování. Po uplynutí této doby by měly být osobní údaje automaticky vymazány.

Příručka pro přípravu malých a středních firem na GDPR popisuje situace, kterých se zásada týká. Jde například o jednorázové nákupy na internetu. 

Jednorázový nákup na internetu

Jak uvádí příručka, po realizaci jednorázového nákupu ve specializovaném e-shopu by osobní údaje zákazníka měly být uchovány pouze po dobu nezbytně nutnou pro uplatnění jeho případného nároku z vad zboží, maximálně pak na dobu, po kterou zákazník udělil svůj souhlas se zasíláním obchodních sdělení e-shopu. Přichází však v úvahu i oprávněný zájem na uchování osobních údajů i po delší dobu – tento oprávněný zájem je však třeba přesně identifikovat a zákazníka o něm informovat. Jeho příkladem může být dlouhodobé sledování situace na trhu. 

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Stejně tak by měla být po uplynutí určité doby po jednorázové návštěvě například ZOO, akvaparku, kulturní akce nebo využití jakékoli jiné služby smazána osobní data návštěvníků, kteří si například zakoupili vstupenky online nebo svůj nákup platili kartou. Anebo pokud je jejich pohyb po areálu poskytovatele služby nějakým způsobem monitorován.

Pravidelnost nákupu či věrnostní programy mění situaci

Jiná je samozřejmě situace tam, kde je subjekt údajů pravidelným uživatelem služby, účastní se věrnostního návštěvnického programu nebo udělil svůj explicitní souhlas s dalším zasíláním obchodních sdělení poskytovatele služby.

Firmy v tomto často porušují nařízení 

Automatický výmaz údajů poté, co jejich zpracování přestalo být nutné pro daný účel zpracování, dosud v českém prostředí není zvykem – data se (a to často duplicitně či vícenásobně v různých evidencích a informačních systémech) uchovávají pro eventuální budoucí potřebu, aniž by si firmy uvědomovaly, že tím porušují již nyní platné předpisy. 

WT 100 tip v článku hlavy

Současně jde i o zbytečnou komplikaci. Platí zde totiž, že čím více dat a čím více evidencí, tím větší riziko nepřesnosti údajů, jejich nadbytečnosti ve vztahu k účelu jejich zpracování a tím vyšší pravděpodobnost porušení zabezpečení údajů spojené s povinností toto porušení hlásit a nést důsledky v podobě náhrady škody nebo sankcí.

Další praktické příklady o aplikaci GDPR