Jaké údaje lze zpracovávat a za jakých podmínek?

Odpověď

Typ a množství osobních údajů, které společnost/organizace může zpracovávat, závisí na tom, z jakého důvodu jsou zpracovávány (příslušný právní důvod) a jaké je jejich zamýšlené použití. Společnost/organizace musí dodržovat několik klíčových pravidel:

• osobní údaje se musí zpracovávat zákonným a transparentním způsobem, aby byla zajištěna korektnost vůči fyzickým osobám, jejichž osobní údaje se zpracovávají („zákonnost, korektnost a transparentnost“),
• existence konkrétních účelů zpracovávání osobních údajů a tyto účely musí společnost/organizace sdělit fyzickým osobám, když jejich osobní údaje shromažďuje. Společnost/organizace nemůže jednoduše shromažďovat osobní údaje bez definovaných účelů („účelové omezení“),
• společnost/organizace musí shromažďovat a zpracovávat pouze ty osobní údaje, které jsou nezbytné k naplnění daného účelu („minimalizace údajů“),
• společnost/organizace musí zajistit, aby osobní údaje byly přesné a aktuální s ohledem na účely, pro něž se zpracovávají, a opravit je, pokud takové nejsou („přesnost“),
• společnost/organizace nemůže osobní údaje dále využívat pro jiné účely, které nejsou slučitelné s účely, pro něž byly osobní údaje původně shromážděny,
• společnost/organizace musí zajistit, aby osobní údaje nebyly uloženy déle, než je nezbytné pro účely, pro něž byly shromážděny („omezení uložení“),
• společnost/organizace musí s využitím náležité technologie zavést vhodné technické a organizační záruky, které zajistí zabezpečení osobních údajů včetně ochrany před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).

Příklad

Vaše společnost má cestovní agenturu. Když získáte osobní údaje klientů, měli byste za použití jasných a jednoduchých jazykových prostředků vysvětlit, proč tyto údaje potřebujete, jak je budete používat a jak dlouho je chcete uchovávat. Zpracovávání by mělo být přizpůsobeno tak, aby respektovalo klíčové zásady pro ochranu osobních údajů.

Odkazy

• Článek 5 odst. 1 a odůvodnění 39 GDPR
• Stanovisko pracovní skupiny 03/2013 zřízené podle článku 29 o účelovém omezení (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)