Každý nákup cez internet si žiada uvedenie osobných údajov, ktoré môžu byť uchované iba na nevyhnutnú dobu. Mnohokrát sa to ale porušuje. Nariadenie o ochrane osobných údajov GDPR hovorí o celom rade zásad so spracovaním osobný údajov. Jednou z nich je tzv. obmedzenie uloženia osobných údajov. Táto zásada hovorí, že osobné dáta budú uložené iba na čas nevyhnutne potrebný na dosiahnutie daného účelu ich spracovania. Po uplynutí tejto doby by mali byť osobné údaje automaticky zmazané. No funguje to tak aj v skutočnosti?
Jednorazový nákup na internete
Podľa GDPR, po realizácii jednorazového nákupu v špecializovanom e-shope by osobné údaje zákazníka mali byť uchovávané len na čas nevyhnutne potrebný na uplatnenie jeho prípadného nároku z dôvodu poškodenia tovaru. Maximálne však po dobu, na ktorú zákazník udelil svoj súhlas so zasielaním obchodných oznámení.
Prichádza však do úvahy aj oprávnený záujem na uchovanie osobných údajov po dlhšiu dobu, napríklad z dôvodu dlhodobého sledovania situácie na trhu. Tento zámer je potrebné presne identifikovať a zákazníka o ňom informovať.
Rovnako by mali byť po uplynutí určitej doby zmazané osobné dáta návštevníkov po jednorazovej návšteve alebo využití akejkoľvek inej služby. Týka sa no napríklad zákazníkov, ktorí si zakúpili vstupenky on-line alebo za svoj nákup platili kartou. Alebo pokiaľ je ich pohyb po areáli poskytovateľa služby nejakým spôsobom monitorovaný kamerou.
Pravidelnosť nákupu či vernostné programy
Situácia je iná, ak je subjekt pravidelným užívateľom služby, zúčastňuje sa vernostného zákazníckeho programu alebo udelil svoj explicitný súhlas s ďalším zasielaním obchodných oznámení poskytovateľa služby.
Firmy často porušujú nariadenie
Automatické vymazanie údajov po tom, čo ich spracovanie prestalo byť potrebné pre daný účel spracovania, doteraz nie je zvykom. Dáta sa, a to často duplicitne či viacnásobne v rôznych evidenciách a informačných systémoch, uchovávajú pre eventuálne budúcu potrebu, bez toho, aby si firmy uvedomovali, že tým porušujú už teraz platné predpisy.
Súčasne ide aj o zbytočnú komplikáciu. Čím viac dát a evidencie firma má, tým je väčšie riziko nepresnosti údajov a ich nadbytočnosti vo vzťahu k účelu ich spracovania. Z tohto plynie vyššia pravdepodobnosť porušenia bezpečnosti údajov spojených s povinnosťou toto porušenie hlásiť a niesť následky v podobe náhrady škody alebo možných sankcií. Predísť prípadným pokutám môže firma, ak bude:
- kontrolovať dobu uchovávania osobných údajov;
- zvažovať účely, pre ktoré ich uchováva, pri rozhodovaní o tom, či a na ako dlho ich bude uchovávať;
- bezpečne mazať a likvidovať údaje, ktoré už pre tieto účely nie sú potrebné;
- aktualizovať, archivovať alebo bezpečne vymazať údaje, ktoré sú zastarané.
Ako dlho ich môžete uchovávať?
Odpoveď je jednoduchá – čo najkratšie. Táto doba by mala zohľadňovať dôvody, pre ktoré firma potrebuje spracovávať tieto údaje, ako aj právne záväzky na uchovávanie údajov počas pevne stanoveného času, napríklad vnútroštátne právne predpisy o pracovnej sile, daniach alebo boji proti podvodom, ktoré vám ukladajú povinnosť uchovávať osobné údaje o vašich zamestnancoch počas vymedzeného obdobia, počas platnosti záruky za výrobok atď.
Firmy by si mali stanoviť lehoty na vymazanie alebo preskúmanie uchovávaných osobných údajov. Výnimočne sa osobné údaje môžu uchovávať aj dlhšie s cieľom archivácie vo verejnom záujme či z dôvodov vedeckého, alebo historického výskumu. Firma tiež musí zabezpečiť, aby uchovávané údaje boli správne a aktualizované.