Strašák GDPR? SERIÁL O GDPR KROK ZA KROKEM – díl IV.
Ve čtvrtém díle série aktualit zabývající se GDPR si projdeme další dvě ze sedmi zásad zpracování osobních údajů obsažených v tomto nařízení.
Již jsme si prošli zásadu zákonnosti, korektnost a transparentnosti, zásadu účelového omezení, zásadu minimalizace údajů a zásadu přesnosti. V tomto díle se seznámíme se zásadou omezení uložení osobních údajů a zásadou integrity a důvěrnosti.
Omezení uložení osobních údajů má dvě roviny. První je rovina účelová, která již byla řešena v rámci zásady účelového omezení v předešlém díle. Rovinou, kterou řeší tato konkrétní zásada je rovina časová. Osobní údaje, které jsou uloženy ve formě umožňující identifikaci subjektů údajů, nesmí být zpracovány po dobu delší, než je nezbytně nutné pro účely, pro které jsou zpracovány. Tedy, i když bude správce mít zákonný důvod ke zpracování osobních údajů, nemůže je uchovat navždy. Například při odebírání bankovních služeb banka legitimně uchovává osobní údaje svých klientů, ale po ukončení smlouvy a pominutí všech právních důvodů pro zpracování již musí být jejich osobní údaje v souladu s nařízením zlikvidovány. Výjimkou je i zde článek 89 odst. 1, tedy pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro účely statistické. To vše samozřejmě za dodržení zásad nařízení a za dostatečných technických a organizačních opatření k jejich ochraně před zneužitím. Tato zásada platí na údaje umožňující identifikaci subjektu. Takto určené časové omezení se neaplikuje na sběr anonymních dat.
Alternativním časovým určovatelem pak může být souhlas subjektu se zpracováním jeho osobních údajů v určitém rozsahu. Zde je možné zpracovávat jeho osobní údaje po dobu, po kterou souhlas platí, případně než je účinně odvolán, přičemž odvolán může být kdykoliv.
Druhou zásadou, kterou si dnes představíme je zásada integrity a důvěrnosti. Ta udává, že zpracovatel je povinen zajistit zpracování osobních údajů takovým způsobem, který dostatečně zajistí jejich náležité zabezpečení proti neoprávněným či protiprávním zpracování, jakožto i před jejich ztrátou, zničením nebo poškozením. To platí jak pro zpracování elektronické, tak i listinné. Zpracovatel má povinnost zajistit ochranu osobních údajů spolehlivým softwarem, který zabrání, aby se do elektronické databáze, kde jsou zpracovávané osobní údaje ukládány, nedostala žádná nepovolená osoba, jakožto aby se každá osoba s přístupem do takové databáze dostala pouze k těm osobním údajům subjektů, který je potřeba k naplnění účelu, pro který je má použít. Taktéž pokud přechovává osobní údaje v listinné podobě, musí zajistit, aby se do archivu či spisovny nedostal nikdo nepovolaný, a aby s těmito listinami bylo zacházeno náležitým způsobem, který jim poskytuje dostatečnou ochranu.
Lukáš Verner, praktikant