GDPR Nariadenie

9. 12. 2020

Uchovávanie a vymazávanie osobných údajov

Uchovávanie a vymazávanie osobných údajov

Jednou z povinností Nariadenia GDPR je stanovenie doby uchovávania spracúvaných osobných údajov. A ich vymazanie po uplynutí tejto „lehoty“. V praxi sa však stále pomerne často stretávame s tým, že prevádzkovatelia:

  • dobu uchovávania neustanovujú vôbec a povinnosť nerešpektujú, čo je najhoršia z možností,
  • dobu uchovávania majú stanovenú, avšak nepristupujú k vymazaniu (potenciálne anonymizácii)  uplynutí doby nemajú stanovené vôbec a je zrejmé, že porušujú právne predpisy,
  • dobu uchovávania stanovujú a osobné údaje vymazávajú – či už čiastočne alebo v celosti.

Problematika vymazania osobných údajov nie je jednoduchá. V článku si priblížime, prostredníctvom akých kritérií je potrebné dobu uchovávania stanoviť, prečo je uchovávanie osobných údajov dôležité a uvedieme pár konkrétnych príkladov na stanovenie doby uchovávania.

Plnenie informačnej povinnosti a uchovávanie osobných údajov

Doba uchovávania a vymazania osobných údajov úzko súvisí s plnením informačnej povinnosti. Jednou z obligatórnych náležitostí, ktoré má obsahovať informačná povinnosť (alebo aj „privacy policy“) je aj informácia o dobe uchovávania spracúvaných osobných údajov. Prostredníctvom tejto informácie sa dotknuté osoby dozvedia, ako dlho budú ich osobné údaje spracúvané. Informovanie o dobe uchovávania slúži aj na zabezpečenie spravodlivého a transparentného spracúvania osobných údajov. Na to, aby mohol prevádzkovateľ o dobe uchovávania informovať dotknuté osoby je potrebné, aby dobu uchovávania v prvom rade stanovil v súlade s požiadavkami Nariadenia GDPR.

Doba uchovávania je praktickým vyjadrením zásady minimalizácie uchovávania osobných údajov. Cieľom tejto zásady je dosiahnuť to, aby prevádzkovateľ spracúval osobné údaje dotknutých osôb len po dobu, ktorá je  nevyhnutne potrebná na dosiahnutie konkrétne stanoveného účelu spracúvania. Dĺžku doby uchovávania určuje prevádzkovateľ v zmysle vyššie uvedenej zásady minimalizácie uchovávania. V niektorých prípadoch mu však doba uchovávania vyplýva priamo z príslušných právnych predpisov či registratúrnych plánov prijatých na základe príslušných právnych predpisov.1.

Informácia o dobe uchovávanie môže byť vyjadrená dvomi spôsobmi:

  • ako konkrétna lehota – napr. ak ide o zákonom stanovenú lehotu, napr. „5 rokov po vyčiarknutí z registra mediátorov“,2
  • ako mechanizmus na jej určenie – použije sa v prípade, ak prevádzkovateľ vzhľadom na špecifické okolnosti nevie presne vymedziť lehotu, napr. „po dobu dvoch rokov odo dňa zverejnenia“.

uchovavanie-a-vymazavanie-osobnych-udajov-GDPR-securion

Uchovávanie osobných údajov zamestnancov

Zamestnanci sú skupinou dotknutých osôb, pri ktorých sa spravidla spracúva najväčší rozsah osobných údajov. Tieto údaje zamestnávateľ spracúva počas trvania pracovného pomeru medzi zamestnancom a zamestnávateľom, po skončení pracovnoprávneho vzťahu a dokonca aj v prípadoch kedy dotknutá osoba potenciálny zamestnanec ešte ani nie je v pracovnoprávnom vzťahu so zamestnávateľom (pri výberovom konaní).

To v praxi spôsobuje aj veľké množstvo problémov, napr. niektoré spoločnosti majú „neporiadok“ v spracúvaných osobných údajoch a tie uchovávajú aj po uplynutí lehoty na výmaz týchto údajov. Právnym základom pri spracúvaní osobných údajov zamestnancov je v zásade zákonná povinnosť prevádzkovateľa (zamestnávateľa). Z uvedeného vyplýva, že doba uchovávania pri jednotlivých účeloch spracúvania osobných údajov zamestnancov je spravidla ustanovená priamo príslušnými právnymi predpismi – najmä  zákonom o sociálnom poistení, zákonom o náhrade príjmu pri dočasnej pracovnej neschopnosti zamestnanca či zákonom o bezpečnosti a ochrane zdravia pri práci.

Jednou z povinností zamestnávateľa je aj vedenie osobného spisu zamestnanca. Osobný spis obsahuje veľké množstvo osobných údajov, ktoré zamestnávateľ získava a spracúva o svojich zamestnancoch. Tieto údaje sú nevyhnutne potrebné na plnenie zákonných povinností v oblasti sociálneho a zdravotného poistenia, pri plnení povinností voči správcovi dane, zmluvných povinností atď. Prostredníctvom osobného spisu sa získavajú osobné údaje zamestnancov za účelom riadneho vedenia personálnej a mzdovej agendy. Okrem osobných údajov zamestnanca sa v osobnom spise nachádzajú aj osobné údaje o jeho rodinných príslušníkoch, akými sú manžel/ka či deti.3.

Jednotlivé dokumenty (osobné údaje obsiahnuté v dokumentoch) v osobnom spise je však potrebné na účely stanovenia doby uchovávania rozlišovať. Niektoré z nich je zamestnávateľ povinný uchovávať až do 70 rokov veku zamestnanca, za účelom preukázania nároku zamestnanca na vznik starobného dôchodku a určenia jeho výšky.4

Uchovávanie osobných údajov z kamerových systémov

Najčastejším účelom, na ktorý prevádzkovateľ spracúva osobné údaje prostredníctvom kamerových systémov je ochrana jeho majetku a zároveň aj ochrana života o zdravia osôb nachádzajúcich sa v monitorovaných priestoroch. Po splnení stanoveného účelu spracúvania je prevádzkovateľ povinný osobné údaje vymazať. Ideálnym riešením je automatické vymazanie záznamov po uplynutí stanovenej doby uchovávania.

V zmysle odporúčania EDPB  je potrebné stanoviť dobu uchovávania s prihliadnutím na konkrétny účel tak, aby spravidla nepresahovala 5 dní. Všeobecne odporúčanou dobou  je 72 hodín odo dňa vyhotovenia kamerového záznamu. Výnimku môžu predstavovať špecifické prípady, napr. vystrihnutá časť z kamerového záznamu slúžiaca ako dôkazný prostriedok je príslušným orgánom činnom v trestnom konaní alebo súdom po jeho poskytnutí uchovávaná počas nevyhnutne potrebnej doby. Za neprimerane dlhé uchovávanie osobných údajov bola udelená v roku 2021 pokuta vo výške viac ako 10 mil. Eur.5. V tomto prípade uchovával prevádzkovateľ záznamy pre vybrané účely spracúvania až 60 dní.

Uchovávanie na účely archivácie, vedeckého a historického výskumu a na štatistické účely

Spracúvanie osobných údajov v zmysle čl. 89 na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického významu a na štatistické účely v sebe zahŕňajú viaceré odchýlky vzťahujúce sa na spracúvanie údajov vyššie uvedených účelov, ide o tzv. privilegované účely spracúvania.

Všeobecne možno konštatovať, že za týmito účelmi sa môžu spracúvať osobné údaje aj po dosiahnutí účelu, na ktorý sa osobné údaje spracúvali pôvodne. Podľa čl. 89 ods. 1 Nariadenia GDPR však musia byť prijaté primerané technické a organizačné opatrenia na ochranu práv a oprávnených záujmov dotknutých osôb. Privilegované účely spracúvania vyplývajú predovšetkým z osobitných právnych predpisov, ktorými sú najmä Zákon o Policajnom zbore, Zákon o štátnej štatistike, Zákona o archívoch a Zákona o pamäti národa.

Vymazávanie osobných údajov

Právo na výmaz osobných údajov je jedným z práv patriacich dotknutej osobe. Toto právo je ustanovené v čl. 17 Nariadenia GDPR. Prevádzkovateľ má v súvislosti so zásadou minimalizácie uchovávania povinnosť automaticky vymazať osobné údaje v okamihu, kedy je splnený stanovený účel spracúvania osobných údajov a získané údaje už ďalej nie sú pre účely prevádzkovateľa potrebné. V zásade platí, že prevádzkovateľ osobné údaje vymaže po uplynutí doby uchovávania , a tak nie je potrebné aby dotknutá osoba podala žiadosť o vymazanie jej osobných údajov.

V prípade, že prevádzkovateľ osobné údaje po uplynutí doby uchovávania nevymaže alebo ak je splnená niektorá z nasledujúcich podmienok, je dotknutá osoba oprávnená požadovať u prevádzkovateľa vymazanie jej osobných údajov:

  • ak osobné údaje už nie sú potrebné na účely, na ktoré sa pôvodne spracúvali,
  • ak sa osobné údaje spracúvali na základe súhlasu dotknutej osoby a dotknutá osoba odvolá svoj súhlas,
  • ak dotknutá osoba namieta voči spracúvaniu a na ďalšom spracúvaní neprevažujú žiadne oprávnené záujmy prevádzkovateľa alebo ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu,
  • ak boli osobné údaje spracúvane nezákonne,
  • ak sa splnila zákonná povinnosť prevádzkovateľa alebo
  • osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 GDPR.

Bez ohľadu na vyššie uvedené okolnosti prevádzkovateľ nie je povinný vymazať osobné údaje, a to ani na žiadosť dotknutej osoby v prípade, ak je spracúvanie osobných údajov potrebné (i) na uplatnenie práva na slobodu prejavu a na informácie, (ii) na splnenie zákonnej povinnosti alebo na splnenie úlohy realizovanej vo verejnom záujme, (iii) z dôvodov verejného záujmu v oblasti verejného zdravia, (iv) na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického významu a na štatistické účely (privilegované účely) alebo (v) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Prax a odporúčania

V praxi je najviac problematickým uchovávanie osobných údajov pri účeloch spracúvania v rámci mzdy a personalistiky. Túto situáciu spôsobuje potreba uchovávania určitých dokumentov a informácií o zamestnancoch až do 70 rokov veku zamestnanca. Týka sa to údajov potrebných pre výpočet dôchodku. V zahraničí je často povinný tieto údaje uchovávať sociálna poisťovňa alebo podobný orgán. Preto majú zamestnávatelia v iných členských štátoch situáciu jednoduchšiu.

Často robia chyby aj e-shopy, keď neprimerane dlho ukladajú osobné údaje z databáz. Týka sa to zákazníkov, ktorý urobili nákup, ale aj účelov spojených s marketingom.

U nás sa kontrola Úradu na ochranu osobných údajov venuje podrobne monitorovaniu kamerovým systémom. Preto si dajte pozor (nielen) na čas uchovávania uchovávania a vymazania kamerových záznamov.

Dobu uchovávania alebo spôsob jej určenia odporúčame evidovať v zázname o spracovateľských činnostiach pri každom účely spracúvania individuálne. Ak vaša GDPR dokumentácia neobsahuje záznam o spracovateľských činnostiach, odporúčame ho zaviesť (aj keď túto povinnosť nemáte).

 

vypracovanie-gdpr-dokumentacia-securion


  1. Uvedené platí najmä na orgány verejnej moci, ktoré sú vo väčšine prípadov povinné prijať registratúrne plány 

  2. § 14 ods. 5 zákona č. 420/2004 Z. z. o mediácii a o doplnení niektorých zákonov v platnom znení 

  3. Tieto spracúva zamestnávateľ v zmysle príslušných právnych predpisov 

  4. Tieto údaje sa prekladajú na žiadosť zamestnanca alebo sociálnej poisťovne na evidenčnom liste dôchodkového poistenia, ktorého náležitosti presne stanovuje zákona o sociálnom poistení 

  5. Pozn.: Pokuta nie je ku dňu publikovania tohto článku právoplatná 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Môže Vás zaujímať

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.