Osobný údaj a limity – Podľa všeobecného nariadenia o ochrane údajov (GDPR) sa osobné údaje nesmú uchovávať dlhšie, ako je nevyhnutné na účely, na ktoré sa spracúvajú. To znamená, že podniky musia stanoviť lehoty na vymazanie osobných údajov, aby sa zabezpečil súlad s GDPR.
Osobný údaj znamená informáciu, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorá môže byť priamo alebo nepriamo identifikovaná, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo na jeden či viac špecifických prvkov fyzickej, fyziologickej, genetickej, psychickej, ekonomickej, kultúrnej alebo sociálnej identity tejto fyzickej osoby.
Osobný údaj môže zahŕňať napríklad:
- Meno a priezvisko
- Adresu bydliska
- E-mailovú adresu
- Telefónne číslo
- Dátum narodenia
- Rodné číslo alebo iné identifikačné číslo
- IP adresa alebo iné online identifikátory
- Poloha alebo lokalizačné údaje
- Informácie o zdravotnom stave, genetické údaje alebo biometrické údaje
Osobný údaj a spracovanie je často predmetom legislatívy na ochranu súkromia, ako je napríklad v Európskej únii Všeobecné nariadenie o ochrane údajov (GDPR). Tieto zákony majú za cieľ chrániť súkromie jednotlivcov a regulovať spôsoby, akými sa osobné údaje zbierajú, uchovávajú, používajú a zdieľajú.
Vzhľadom na dôležitosť ochrany osobných údajov a súkromia je dôležité, aby firmy, organizácie a jednotlivci zodpovedne a transparentne spracovávali osobné údaje. Toto zahŕňa nasledujúce zásady a opatrenia:
- Legitímny účel: Osobné údaje by sa mali zbierať a spracovávať len pre jasne definované a oprávnené účely. Organizácie by mali byť transparentné o tom, na aké účely údaje používajú.
- Minimalizácia údajov: Zbierané osobné údaje by sa mali obmedziť na minimum, ktoré je nevyhnutné na dosiahnutie účelu spracovania.
- Presnosť údajov: Osobné údaje by mali byť presné a aktualizované, ak je to potrebné. Nesprávne údaje by mali byť opravené alebo vymazané.
- Obmedzenie uchovávania: Osobné údaje by sa mali uchovávať len počas obdobia, ktoré je nevyhnutné na účely, na ktoré boli zbierané. Po uplynutí tohto obdobia by sa údaje mali vymazať alebo anonymizovať.
- Integrita a dôvernosť: Organizácie by mali používať primerané technické a organizačné opatrenia na zabezpečenie osobných údajov a ich ochranu pred neoprávneným prístupom, zneužitím alebo zničením.
- Zodpovednosť: Spracovateľ údajov by mal byť zodpovedný za dodržiavanie zásad ochrany údajov a schopný preukázať súlad s právnymi predpismi.
- Práva jednotlivcov: Osoby, ktorých sa osobné údaje týkajú, majú rôzne práva, ako je právo na prístup k svojim údajom, právo na opravu alebo vymazanie, právo na obmedzenie spracovania, právo na prenosnosť údajov a právo namietať voči spracovaniu.
V nariadení GDPR sa nestanovujú konkrétne lehoty na vymazanie osobných údajov, pretože lehoty budú závisieť od konkrétnych účelov, na ktoré sa údaje spracúvajú. Podniky však musia pri stanovovaní lehôt zohľadniť niekoľko faktorov vrátane nasledujúcich:
- Účel spracovania
Účel, na ktorý sa osobné údaje spracúvajú, bude kľúčovým faktorom pri určovaní dĺžky uchovávania údajov. Napríklad osobný údaj zhromaždený na účely konkrétnej marketingovej kampane môže byť potrebný len na krátke obdobie, zatiaľ čo osobný údaj zhromaždený na daňové účely môže byť potrebné uchovávať až niekoľko rokov. - Právne požiadavky
Právne požiadavky môžu určovať, ako dlho sa musia osobné údaje uchovávať. Napríklad daňové zákony môžu vyžadovať, aby sa určité finančné záznamy uchovávali určitý počet rokov. - Obchodné požiadavky
Obchodné požiadavky môžu tiež určovať, ako dlho sa majú osobné údaje uchovávať. Napríklad podnik sa môže rozhodnúť uchovávať údaje o zákazníkoch určitý čas, aby uľahčil služby zákazníkom. - Práva subjektu údajov
Subjekty údajov majú právo na prístup k svojim osobným údajom a právo požadovať ich vymazanie. Podniky musia zaviesť postupy, ktoré umožnia promptne reagovať na tieto žiadosti a vymazať príslušné osobné údaje. - Bezpečnosť
Podniky musia zabezpečiť, aby boli osobné údaje počas ich spracúvania a pri ich vymazávaní v bezpečí. Osobný údaj by sa mal bezpečne vymazať, keď už nie je potrebný.
Osobný údaj – príklady lehôt:
| Systém | Lehota na vymazanie |
|---|---|
| Personálna agenda | osobné spisy zamestnancov 70 rokov od narodenia, dochádzka a dovolenky 5 rokov, dohody o vykonaní práce 70 rokov od narodenia, evidencia dávok nemocenského poistenia – 10 rokov, prihlášky a odhlášky do poisťovní – 10 rokov, stravovanie zamestnancov 5 rokov |
| Mzdová agenda | mzdové listy 50 rokov, výplatné listiny 10 rokov, daňové vyhlásenia 10 rokov, podklady pre výpočet miezd 5 rokov, zrážky zo miezd 5 rokov |
| Účtovná agenda | faktúry, knihy faktúr, pokladničné doklady a pokladničné knihy, bankové doklady a výpisy, kniha objednávok – 10 rokov |
| Zmluvné vzťahy | Podľa zmluvy bežne 2-10 rokov |
| Kamerový systém | 3 dni pri bežných systémoch podľa odporučenia úradu pre dodržanie minimalizácie údajov |
| Registratúra | korešpondencia závažná 10 rokov, korešpondencia bežná 5 rokov |
| Sťažnosti | 10 rokov od vybavenia sťažnosti |
| Uplatňovanie práv dotknutej osoby | 1 rok odo dňa vybavenia žiadosti |
| Žiadosti na základe zákona o slobodnom prístupe k informáciam | 10 rokov po vybavení |
| Evidencia SZČO | 10 rokov po skončení zmluvného vzťahu z dôvodu evidencie v rámci účtovnej agendy |
| Marketing | 5 rokov |
| Evidencia uchádzačov o zamestnanie | 2 roky |
| Cookies | Bežne aj od minúty do 1-2 rokov podľa typu cookies (marketingové, technické, analytické) |
| Súťaž | 1 rok od čerpania výhry |
| Reklamácie | 3 roky po vybavení kvôli opakovanej reklamácii |
| Vernostný program | Doba trvania členstva môže byť viazaná na inaktivitu napríklad 5 rokov v programe |
| Členovia | Doba trvania členstva môže byť viazaná na inaktivitu v klube/organizácii napríklad 5 rokov |
| Vstup do priestorov | 1 rok od záznamu po skončení kalendárneho roka |
| Podnety pre protispoločenskú činnosť | 3 roky od doručenia podnetu |
Podniky musia stanoviť lehoty na vymazanie osobných údajov, aby sa zabezpečil súlad s GDPR. Lehoty budú závisieť od viacerých faktorov vrátane účelu spracúvania, právnych požiadaviek, obchodných požiadaviek, práv dotknutých osôb a bezpečnostných hľadísk. Podniky by mali stanoviť jasné zásady a postupy vymazávania osobných údajov a zabezpečiť, aby o nich boli informované všetky príslušné zainteresované strany.
