Aby společnost byla v souladu s GDPR (Obecným nařízením o ochraně osobních údajů) musí umět posoudit, jak dlouho mají být osobní údaje uchovávány. Mezi osobní údaje řadíme (kromě spousty dalších údajů) například i e-mailové adresy. A právě s těmi zachází společnost ABC.

Proč e-mailové adresy zpracovává?

• Pro potřeby zasílání marketingových nabídek.
• Kvůli kontaktování klientů ohledně poskytovaných služeb plynoucích ze smlouvy, kterou s nimi má uzavřenou.
• Za účelem ochrany oprávněných zájmů společnosti (po nezbytnou dobu si ponechává originály ukončených smluv se svými klienty, kde je uvedena i e-mailová adresa, v případě rizika soudního sporu s klientem).

Detektiv ví, že hlavní stopou je v tomto případě tzv. zásada omezení uložení. Tato zásada mimo jiné vyžaduje, aby byly osobní údaje uchovávány pouze po dobu, která je nezbytná pro dané účely zpracování. Pokud nejsou nastaveny doby uchovávání, po jejichž uplynutí je nutné osobní údaje vymazat nebo anonymizovat, správce osobních údajů musí stanovit pravidla jejich uchovávání, a to pro každý účel zpracování zvlášť. Pokud je daný osobní údaj zpracováván pro více účelů, lze jej uchovávat až do uplynutí nejdelší doby uchovávání.

Tři rady GDPR detektiva aneb kroky, které uplatníte i ve vaší společnosti:

1. Pro každý účel zpracování si stanovte dobu, po kterou je nezbytné pro daný účel zpracovávat osobní údaje. Tuto dobu naleznete zejména v právních předpisech, rozhodnutích orgánů, standardech či v doporučeních autorit v oblasti ochrany osobních údajů.
2. Nastavte své procesy a systémy tak, aby vždy po uplynutí doby došlo k automatizovanému či ručnímu výmazu příslušných osobních údajů.
3. Nezapomeňte, že výmazem osobních údajů se rozumí odstranění osobního údaje ve všech formách, tj. nejen z IT systémů, ale např. i fyzická skartace.

Společnost ABC už ví, jak na záhadu spojenou s dobou uchovávání osobních údajů. Po návštěvě detektiva rozhodla, že…

• Marketingové nabídky bude zasílat po dobu 1 roku od skončení smluvního vztahu mezi společností a daným klientem (bude takto upraveno v souhlasech se zpracováním osobních údajů).
• Kontaktování klientů ohledně jim poskytovaných služeb plynoucích ze smlouvy bude probíhat po dobu trvání smluvního vztahu mezi společností a daným klientem. Později již ne.
• Originály smluv s klienty si společnost bude uchovávat po dobu 10 let po skončení smluvního vztahu mezi společností a daným klientem, což odpovídá promlčecí době všech potenciálních nároků z této smlouvy.

Potřebujete vyřešit podobný, nebo úplně jiný případ? Pozvěte se k detektivovi do kanceláře, objednejte si naši online aplikaci GDPR Detective. Naše detektivní očko vyřeší záhady ochrany osobních údajů za vás!