Aké údaje možno spracúvať a za akých podmienok?

Odpoveď

Typ a množstvo osobných údajov, ktoré môže vaša spoločnosť/organizácia spracúvať, závisí od dôvodu ich spracúvania (uplatnený právny dôvod), a zamýšľaného použitia. Spoločnosť /organizácia musí dodržiavať niekoľko kľúčových pravidiel:

• osobné údaje musia byť spracúvané zákonne a transparentne, pričom sa musí zabezpečiť spravodlivosť voči jednotlivcom, ktorých osobné údaje sa spracúvajú („zákonnosť, spravodlivosť a transparentnosť“);
• musí existovať konkrétny účel spracúvania údajov a spoločnosť /organizácia musí tento účel jednotlivcom oznámiť, keď zbiera ich osobné údaje. Spoločnosť /organizácia nemôže  jednoducho zbierať osobné údaje na neidentifikované účely („obmedzenie účelu“);
• spoločnosť /organizácia musí zbierať a spracúvať iba osobné údaje, ktoré sú nevyhnutné na naplnenie daného účelu („minimalizácia údajov“);
• spoločnosť /organizácia musí zabezpečiť, aby boli osobné údaje správne a aktuálne, s prihliadnutím na účely, na ktoré sa spracúvajú, a opraviť ich, ak nie sú správne („správnosť“);
• spoločnosť /organizácia nemôže ďalej použiť osobné údaje na iné účely, ktoré nie sú zlučiteľné s pôvodným účelom zberu;
• spoločnosť /organizácia musí zabezpečiť, aby osobné údaje neboli uchovávané dlhšie, ako je nutné na účely, na ktoré sa zozbierali („minimalizácia uchovávania“);
• spoločnosť /organizácia musí zaviesť primerané technické a organizačné ochranné opatrenia, ktorými sa zaisťuje ochrana osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracovaním a pred náhodnou stratou, zničením alebo poškodením, a to použitím primeranej technológie („integrita a dôvernosť“).

Príklad

Vaša spoločnosť/organizácia prevádzkujete cestovnú agentúru. Pri získavaní osobných údajov klientov by ste im mali vysvetliť jasným a jednoduchým jazykom, prečo tieto údaje potrebujete, ako ich budete používať a ako dlho si ich plánujete nechať. Spracúvanie by malo byť prispôsobené tak, aby boli dodržané kľúčové zásady ochrany údajov.

Odkazy

• článok 5 ods. 1 a odôvodnenie 39 GDPR
• stanovisko pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 č. 03/2013 k obmedzeniu účelu (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)