05 / 09 / 2018

Jak se vypořádat s GDPR v případě odvolání souhlasu

Co lze dělat v případě, kdy byl souhlas se zpracováním osobních údajů odvolán? Je nutné vymazat všechny údaje?

Jak vyřešit situaci, kdy nelze výmaz provést bez toho, aniž by došlo ke ztrátě jiných osobních údajů? Jedno je jisté - není třeba panikařit, máme pro vás řešení :-).

Ne vždy, když dojde k odvolání souhlasu, je nutné dané osobní údaje vymazat. Jedná se především o situace, kdy jsou tyto osobní údaje zpracovávány zároveň pro více účelů. Pokud se jedná například o kupní smlouvu, pak jméno a příjmení zákazníka můžeme zpracovávat v jeden okamžik jednak pro  účely splnění závazku z kupní smlouvy, pro nabízení zboží a služeb, ale také pro vymáhání případných nároků. I když se zákazník rozhodne, že již nechce dostávat žádné další nabídky týkající se zboží a služeb, je samozřejmě jeho právem tento souhlas odvolat, nicméně vy i nadále můžete uchovávat jeho jméno i příjmení, dokud nepominou i všechny ostatní účely zpracování.

Ale aby to bylo fér pro obě strany, pamatujte na to, že ve chvíli, kdy už není  skutečně žádný účel zpracování nutný, musíte tyto osobní údaje zlikvidovat. I když i tady by se dalo o výmazu diskutovat. Vaší povinností totiž není údaje zcela smazat, ale musíte zajistit jejich anonymizaci. V praxi pak sice tyto údaje nemůžete přiřadit ke konkrétním zákazníkům, ale můžete je například využít pro interní analýzy trendů.

A protože je problematika GDPR velmi záludnou oblastí, objevují se situace, kdy si budete lámat hlavu a opakovaně se ptát: A co teď? Představte si, že máte osobní údaje zaznamenány na nepřepisovatelném médiu, jako je třeba magnetická páska. Jsou zde nahrány údaje, které by se měly smazat, jenže spolu s nimi jsou na pásce také data, která vymazána být nemají. Je to poměrně patová situace. Vymažete-li jedny osobní údaje, přijdete i o ty, které je nutné uchovat. Nebojte se, i toto má své řešení. Údaje i nadále ponechte pasivně uložené, je ovšem bezpodmínečně nutné, aby nebyly jednak použity správcem, ale také je nutné zabezpečit jejich technickou ochranu. Ve chvíli, kdy už není nutné údaje uchovávat, pak buďte připraveni k jejich výmazu.

Máte zkušenost s odvoláním souhlasu se zpracováním osobních údajů? Nejste si jisti, zda je v souladu s GDPR tyto údaje nadále uchovávat? Obraťte se na nás, v týmu máme specialisty, kteří vám poradí.

GDPR je obecné nařízení o ochraně osobních údajů (z angličtiny General Data Protection Regulation). Patří k novým revolučním legislativám EU, která výrazně zvýší ochranu osobních dat. Výrazně ovlivní nakládání s osobními daty vašich zaměstnanců i klientů.

Ochrana osobních údajů, s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Nařízení přináší revoluci v ochraně osobních údajů. GDPR se týká všech firem, institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.

Dát evropským občanům šanci mít větší kontrolu nad tím, co se s jejich daty děje. GDPR zavádí enormní pokuty za porušování nových, přísnějších pravidel v ochraně osobních údajů.

EU nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer), tzv. pověřence pro ochranu osobních údajů. Jeho úkolem bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona.