Podnikatelia majú problém stanovovať dobu uchovávania, ale aj dodržiavať výmaz osobných údajov. Spôsobuje to legislatíva, ktorá nie je vždy jednoznačná, ale aj nárazová zaťaž pre podnikateľov, ak sa ochrane osobných údajov nevenujú sústavne.
V článku si priblížime uchovávanie a výmaz osobných údajov vo všeobecnej rovine a osobných údajov zamestnancov.
Doba uchovávania a výmaz
Pri stanovení doby uchovávania vznikajú mnohé otázky. Zásada minimalizácie uchovávania vyvoláva požiadavku, aby prevádzkovateľ spracúval a uchovával osobné údaje len na dobu nevyhnutne potrebnú.
Túto dobu môže špecifikovať právny predpis alebo si ju môže určiť prevádzkovateľ. Nemala by byť neprimerane dlhá.
Existujú prípady, kedy dobu uchovávania:
- špecifikuje alebo odporúča právny predpis
- špecifikuje alebo odporúča prax, orgány štátnej správy, iné usmernenia a odporúčania
- stanovuje sám prevádzkovateľ
Pri právnych predpisoch identifikujeme často presné stanovenie doby uchovávania (napr. zákon o účtovníctve, dani z príjmov a pod.). Problémom môžu byť situácie, kedy nie je doba uchovávania osobných údajov stanovená (napr. záznamy z kamerových systémov) alebo ju stanovuje sám prevádzkovateľ (napr. uchovávanie životopisov neúspešných uchádzačov.
Dôležité je vychádzať z toho, že dobu, počas ktorej uchováva prevádzkovateľ osobné údaje, je potrebné riadne odôvodniť. A to pre každý účel spracúvania (alebo kategóriu účelov spracúvania) a pre príslušné kategórie osobných údajov.
Samozrejme, po uplynutí doby uchovávania má prísť k výmazu osobných údajov. Je dôležité si nastaviť systém, ako k nemu prichádza. Je jednoduché “ustrážiť” výmaz osobných údajov, napr. v elektronickej databáze e-mailov alebo e-shopov. Náročnejšie je pristupovať k výmazu osobných údajov v listinnej podobe – štandardne majú listinnú podobu osobné spisy, účtovné dokumenty, a ďalšie listiny, ktoré prechádzajú podnikateľskými subjektami.
Zamestnanci – osobné spisy a iné osobné údaje
Pri zamestnancoch je spracúvanie osobných údajov rozsiahle. Od výberu pracovníka a prijatia až po vedenie osobného spisu do 70 rokov veku, spracúva zamestnávateľ osobné údaje zamestnancov.
Nie všetky údaje a informácie, ktoré zamestnávateľ uvádza v osobnom spise však majú byť jeho súčasťou. Často sa v osobnom spise nachádzajú kópie občianskych preukazov, ale aj iné osobné údaje a dokumenty, ktoré nie sú pre vedenie osobného spisu nevyhnutné.
Dokumenty a osobné údaje obsiahnuté v dokumentoch v osobnom spise je však potrebné na účely stanovenia doby uchovávania rozlišovať. Niektoré z nich je zamestnávateľ povinný uchovávať až do 70 rokov veku zamestnanca, za účelom preukázania nároku zamestnanca na vznik starobného dôchodku a určenia jeho výšky.
Ak majú byť osobné spisy uchovávané do 70 rokov veku, odporúčame “vyselektovať” tie dokumenty, ktoré sú nevyhnutné práve pre výpočty dôchodku. Ostatné dokumenty by mali mať špecifikovanú kratšiu dobu uchovávania a vymazania osobných údajov.
Obsah osobného spisu nie je pevne daný, avšak aj v tomto prípade je potrebné stanoviť účely spracúvania, stanoviť k nim dobu uchovávania a vedieť si ju odôvodniť. Dôležité je nastaviť si aj systém výmazu osobných údajov tak, aby bol v čo najväčšej miere automatizovaný.
Prax a odporúčania
V praxi sa javí uchovávanie osobných údajov často ako problematické – pri nastavení doby uchovávania, ako aj realizácie výmazu po jej uplynutí. Pri ochrane osobných údajov a plnení povinností vyplývajúcich z GDPR odporúčame podnikateľom venovať pozornosť nastaveniu systému uchovávania osobných údajov a automatizácii vymazania osobných údajov.
