Hlavní navigace

Co znamená omezení uložení osobních údajů? A kdy se používá?

28. 6. 2018
Doba čtení: 2 minuty

Sdílet

Ilustrační obrázek
Ilustrační obrázek
Každý nákup přes internet si žádá uvedení osobních údajů. Ty však mohou být uchované na dobu pouze nezbytně nutnou. Mnohdy se tak neděje.

Nařízení o ochraně osobních údajů pojednává o celé řadě zásad. Jednou z nich je tzv. omezené uložení osobních údajů. 

Tato zásada říká, že osobní data budou uložena pouze na dobu nezbytně nutnou k dosažení daného účelu zpracování. Po uplynutí této doby by měly být osobní údaje automaticky vymazány.

Příručka pro přípravu malých a středních firem na GDPR popisuje situace, kterých se zásada týká. Jde například o jednorázové nákupy na internetu. 

Jednorázový nákup na internetu

Jak uvádí příručka, po realizaci jednorázového nákupu ve specializovaném e-shopu by osobní údaje zákazníka měly být uchovány pouze po dobu nezbytně nutnou pro uplatnění jeho případného nároku z vad zboží, maximálně pak na dobu, po kterou zákazník udělil svůj souhlas se zasíláním obchodních sdělení e-shopu. Přichází však v úvahu i oprávněný zájem na uchování osobních údajů i po delší dobu – tento oprávněný zájem je však třeba přesně identifikovat a zákazníka o něm informovat. Jeho příkladem může být dlouhodobé sledování situace na trhu. 

Stejně tak by měla být po uplynutí určité doby po jednorázové návštěvě například ZOO, akvaparku, kulturní akce nebo využití jakékoli jiné služby smazána osobní data návštěvníků, kteří si například zakoupili vstupenky online nebo svůj nákup platili kartou. Anebo pokud je jejich pohyb po areálu poskytovatele služby nějakým způsobem monitorován.

Pravidelnost nákupu či věrnostní programy mění situaci

Jiná je samozřejmě situace tam, kde je subjekt údajů pravidelným uživatelem služby, účastní se věrnostního návštěvnického programu nebo udělil svůj explicitní souhlas s dalším zasíláním obchodních sdělení poskytovatele služby.

Firmy v tomto často porušují nařízení 

Automatický výmaz údajů poté, co jejich zpracování přestalo být nutné pro daný účel zpracování, dosud v českém prostředí není zvykem – data se (a to často duplicitně či vícenásobně v různých evidencích a informačních systémech) uchovávají pro eventuální budoucí potřebu, aniž by si firmy uvědomovaly, že tím porušují již nyní platné předpisy. 

WT100 early temata

Současně jde i o zbytečnou komplikaci. Platí zde totiž, že čím více dat a čím více evidencí, tím větší riziko nepřesnosti údajů, jejich nadbytečnosti ve vztahu k účelu jejich zpracování a tím vyšší pravděpodobnost porušení zabezpečení údajů spojené s povinností toto porušení hlásit a nést důsledky v podobě náhrady škody nebo sankcí.

Další praktické příklady o aplikaci GDPR

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).