Zavrieť
Upraviť
Hlavné
- Auto Moto [x]
- Cestovanie [x]
- Deti [x]
- Domácnosť [x]
- Elektronika [x]
- Foto [x]
- Hoby [x]
- Hudba [x]
- Iné [x]
- Kaviareň Porady [x]
- Kultúra [x]
- Mobily a Tablety [x]
- Móda [x]
- Mzdy a personalistika [x]
- Neziskové organizácie [x]
- Počítače [x]
- Podnikanie [x]
- Porada (o stránke Porada) [x]
- Právo [x]
- Recenzie [x]
- Recepty [x]
- Software [x]
- Stavba [x]
- Šport [x]
- Účtovníctvo a dane [x]
- Vzdelávanie [x]
- Záhrada [x]
- Zdravie [x]
- Zvieratá [x]
Otázku
Pravidlá
Položte novú otázku, ak:
- Potrebujete odpoveď (na diskusiu slúžia Debaty).
- Ste nenašli odpoveď cez vyhľadávanie
Tip
Pravidlá a tipy
Vaše rady, tipy a vedomosti!
Tip môžete napísať stručne ale môže ísť aj o dlhší článok.
Ak chcete zdieľať cudzí článok, zdieľajte link.
Tip môžete napísať stručne ale môže ísť aj o dlhší článok.
Ak chcete zdieľať cudzí článok, zdieľajte link.
Zdieľaj link
Pravidlá a tipy
Zdieľajte s nami link na články z iných webov.
Komentáre k linku budú zoradené podľa počtu hlasov,
môžete využiť aj filter komentárov a zobraziť
len komentáre od členov ktorých na Porade sledujete.
Komentáre k linku budú zoradené podľa počtu hlasov,
môžete využiť aj filter komentárov a zobraziť
len komentáre od členov ktorých na Porade sledujete.
Sledovať 
GDPR – čo naozaj prinesie? V. PRÁVO NA ZABUDNUTIE
Ing. Ľubomír Janoška Ing. Ľubomír Janoška
Nariadenie GDPR prináša aj nový pojem „právo dotknutej osoby na zabudnutie“ (čiže vymazanie) osobných údajov.
Dôvodov na vymazanie spracúvaných osobných údajov je viacero, môžeme ich ale pre zjednodušenie rozdeliť do dvoch skupín:
- vymazanie osobných údajov, ktoré sú spracúvané nezákonne,
- vymazanie osobných údajov, ktoré boli spracúvané v súlade so zákonom, ale účel ich spracúvania sa skončil a teda nie je dôvod ich ďalej spracúvať.
Pre úplnosť dodávam, že „právo na zabudnutie“ sa nemôže uplatniť pri spracúvaní osobných údajov, ktorých spracúvanie podmieňuje plnenie zákonnej povinnosti prevádzkovateľa.
Naopak, pokiaľ sú osobné údaje spracúvané nezákonne, prevádzkovateľ je povinný ich bezodkladne vymazať.
Pokiaľ sa právo na zabudnutie vzťahuje na osobné údaje, ktorých účel spracúvania sa skončil, Nariadenie GDPR upravuje popísanú situáciu odlišne od slovenského zákona 122/2013. Kým zákon 122/2013 určoval povinnosť prevádzkovateľa zlikvidovať osobné údaje, ktorých účel spracúvania sa skončil, Nariadenie GDPR určuje právo dotknutej osoby na výmaz takýchto údajov. Tento drobný rozdiel sa rieši v návrhu nového zákona NRSR o ochrane osobných údajov, ktorý zachováva kontinuitu tým, že určuje (citujem z návrhu zákona v aktuálnom štádiu):
„Prevádzkovateľ je povinný pravidelne preveriť splnenie účelu spracúvania osobných údajov za účelom ich výmazu a po splnení účelu spracúvania osobných údajov bez zbytočného odkladu zabezpečiť vymazanie osobných údajov alebo zabezpečiť výmaz registratúrnych záznamov podľa osobitného predpisu, ak sú osobné údaje ich súčasťou.“ Navrhovaný text pritom rešpektuje možnosť, s ktorou pracuje Nariadenie GDPR, že dotknutá osoba individuálnym úkonom uplatní právo na zabudnutie tým, že jej v inom ustanovení priznáva právo požadovať výmaz.
V konečnom dôsledku sa teda životný cyklus osobných údajov spracúvaných v súlade so zákonnou úpravou nemení, prevádzkovateľ má „novú“ povinnosť vymazať osobné údaje, ktorých účel spracúvania sa skončil, rovnako ako mal „starú“ povinnosť tieto údaje zlikvidovať. Rozdiel významov výrazov „zlikvidovať“ a „vymazať“ nemá relevantný praktický dosah.
Pokiaľ si prevádzkovateľ splní úlohu vymazať spracúvané osobné údaje po skončení ich účelu spracúvania, hypoteticky by prípadná požiadavka dotknutej osoby na výmaz mala byť bezpredmetná. V praxi ale možno predpokladať, že názory prevádzkovateľa a dotknutej osoby na retenčnú dobu niektorých údajov nebudú rovnaké.
Príklad 1:
Záznam o návšteve pracoviska fyzickou osobou v knihe návštev môže mať z pohľadu prevádzkovateľa retenčnú dobu určenú zákonnými premlčacími lehotami, ale z pohľadu dotknutej osoby sa takáto lehota môže javiť neprimerane dlhá a môže žiadať skorší výmaz. Vtakomto prípade sa môže stať, že dotknutá osoba uplatní právo na výmaz pred uplynutím lehoty určenej prevádzkovateľom. Paradoxne, ak prevádzkovateľ vymaže predmetné dáta z knihy návštev (číslo dokladu totožnosti), niektoré bude naďalej spracúvať v korešpondencii o vymazaní (meno a priezvisko, doručovacia adresa).
Príklad 2:
Bývalý „dohodár“ požiada zamestnávateľa o vymazanie svojich údajov. Ten môže mať pre príslušnú agendu určenú registratúrnu lehotu možno 10 rokov od ukončenia zmluvného vzťahu, ale možno 70 rokov od narodenia príslušnej fyzickej osoby (oba príklady z praxe). V takomto prípade by mal zamestnávateľ rozlišovať viaceré etapy životného cyklu. Minimálna registratúrna lehota by mala byť určená zákonom o dani z príjmov (kvôli možnej revízii) alebo prípadne zákonom o dani z pridanej hodnoty (možná revízia naturálnej mzdy vo vzťahu k dph). Zamestnávateľ preto jednoznačne nesmie vyhovieť požiadavke na výmaz v lehote do 10 rokov, pretože by tým porušil svoje povinnosti, vyplývajúce z citovaných daňových zákonov.
Tu žiaľ končí jednoznačná odpoveď, pretože za touto lehotou môže nasledovať ďalšia etapa, v ktorej sa uchovávajú registratúrne záznamy na základe úložnej povinnosti podľa zákona o sociálnom poistení. Podľa môjho osobného názoru registratúrna lehota agendy „dohodárov“ nie je jednoznačne určená zákonom o sociálnom poistení, takže nie je možné jednoznačne usúdiť, či vyhovenie požiadavke na výmaz v tejto etape by znamenalo porušenie registratúrnej povinnosti vyplývajúcej zo zákona o sociálnom poistení alebo „iba“ porušenie vlastného rozhodnutia predčasným vyradením záznamu z registratúry. Rovnako si netrúfam hodnotiť potenciálne porušenie registratúrneho plánu, najmä ak je schválený štátnym archívom.
Tento príklad by som rád uzavrel upozornením na to, že požiadavka na jednoznačnosť registratúrnych lehôt si vyžaduje systematické riešenie jednoznačným určením registratúrnych lehôt v príslušných zákonoch; v tomto prípade v zákone o sociálnom poistení.
A nakoniec perlička: jeden z vôbec najzaujímavejších pojmov v Nariadení GDPR, právo na výmaz zverejnených údajov, slangovo označované ako „odverejnenie“, upravené v čl. 17 ods. 2 Nariadenia GDPR, ktorý uvádza (citujem):
„Ak prevádzkovateľ zverejnil osobné údaje a ... je povinný vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.“
Citované ustanovenie je podľa dostupných komentárov orientované na sociálne siete. Samotní prevádzkovatelia sociálnych sietí ale označujú „odverejnenie“ na požiadanie za nevykonateľné a tvrdia, že jediným technicky dostupným riešením je postupné vymazávanie údajov po uplynutí nastavenej doby od zverejnenia.
Dôvodov na vymazanie spracúvaných osobných údajov je viacero, môžeme ich ale pre zjednodušenie rozdeliť do dvoch skupín:
- vymazanie osobných údajov, ktoré sú spracúvané nezákonne,
- vymazanie osobných údajov, ktoré boli spracúvané v súlade so zákonom, ale účel ich spracúvania sa skončil a teda nie je dôvod ich ďalej spracúvať.
Pre úplnosť dodávam, že „právo na zabudnutie“ sa nemôže uplatniť pri spracúvaní osobných údajov, ktorých spracúvanie podmieňuje plnenie zákonnej povinnosti prevádzkovateľa.
Naopak, pokiaľ sú osobné údaje spracúvané nezákonne, prevádzkovateľ je povinný ich bezodkladne vymazať.
Pokiaľ sa právo na zabudnutie vzťahuje na osobné údaje, ktorých účel spracúvania sa skončil, Nariadenie GDPR upravuje popísanú situáciu odlišne od slovenského zákona 122/2013. Kým zákon 122/2013 určoval povinnosť prevádzkovateľa zlikvidovať osobné údaje, ktorých účel spracúvania sa skončil, Nariadenie GDPR určuje právo dotknutej osoby na výmaz takýchto údajov. Tento drobný rozdiel sa rieši v návrhu nového zákona NRSR o ochrane osobných údajov, ktorý zachováva kontinuitu tým, že určuje (citujem z návrhu zákona v aktuálnom štádiu):
„Prevádzkovateľ je povinný pravidelne preveriť splnenie účelu spracúvania osobných údajov za účelom ich výmazu a po splnení účelu spracúvania osobných údajov bez zbytočného odkladu zabezpečiť vymazanie osobných údajov alebo zabezpečiť výmaz registratúrnych záznamov podľa osobitného predpisu, ak sú osobné údaje ich súčasťou.“ Navrhovaný text pritom rešpektuje možnosť, s ktorou pracuje Nariadenie GDPR, že dotknutá osoba individuálnym úkonom uplatní právo na zabudnutie tým, že jej v inom ustanovení priznáva právo požadovať výmaz.
V konečnom dôsledku sa teda životný cyklus osobných údajov spracúvaných v súlade so zákonnou úpravou nemení, prevádzkovateľ má „novú“ povinnosť vymazať osobné údaje, ktorých účel spracúvania sa skončil, rovnako ako mal „starú“ povinnosť tieto údaje zlikvidovať. Rozdiel významov výrazov „zlikvidovať“ a „vymazať“ nemá relevantný praktický dosah.
Pokiaľ si prevádzkovateľ splní úlohu vymazať spracúvané osobné údaje po skončení ich účelu spracúvania, hypoteticky by prípadná požiadavka dotknutej osoby na výmaz mala byť bezpredmetná. V praxi ale možno predpokladať, že názory prevádzkovateľa a dotknutej osoby na retenčnú dobu niektorých údajov nebudú rovnaké.
Príklad 1:
Záznam o návšteve pracoviska fyzickou osobou v knihe návštev môže mať z pohľadu prevádzkovateľa retenčnú dobu určenú zákonnými premlčacími lehotami, ale z pohľadu dotknutej osoby sa takáto lehota môže javiť neprimerane dlhá a môže žiadať skorší výmaz. Vtakomto prípade sa môže stať, že dotknutá osoba uplatní právo na výmaz pred uplynutím lehoty určenej prevádzkovateľom. Paradoxne, ak prevádzkovateľ vymaže predmetné dáta z knihy návštev (číslo dokladu totožnosti), niektoré bude naďalej spracúvať v korešpondencii o vymazaní (meno a priezvisko, doručovacia adresa).
Príklad 2:
Bývalý „dohodár“ požiada zamestnávateľa o vymazanie svojich údajov. Ten môže mať pre príslušnú agendu určenú registratúrnu lehotu možno 10 rokov od ukončenia zmluvného vzťahu, ale možno 70 rokov od narodenia príslušnej fyzickej osoby (oba príklady z praxe). V takomto prípade by mal zamestnávateľ rozlišovať viaceré etapy životného cyklu. Minimálna registratúrna lehota by mala byť určená zákonom o dani z príjmov (kvôli možnej revízii) alebo prípadne zákonom o dani z pridanej hodnoty (možná revízia naturálnej mzdy vo vzťahu k dph). Zamestnávateľ preto jednoznačne nesmie vyhovieť požiadavke na výmaz v lehote do 10 rokov, pretože by tým porušil svoje povinnosti, vyplývajúce z citovaných daňových zákonov.
Tu žiaľ končí jednoznačná odpoveď, pretože za touto lehotou môže nasledovať ďalšia etapa, v ktorej sa uchovávajú registratúrne záznamy na základe úložnej povinnosti podľa zákona o sociálnom poistení. Podľa môjho osobného názoru registratúrna lehota agendy „dohodárov“ nie je jednoznačne určená zákonom o sociálnom poistení, takže nie je možné jednoznačne usúdiť, či vyhovenie požiadavke na výmaz v tejto etape by znamenalo porušenie registratúrnej povinnosti vyplývajúcej zo zákona o sociálnom poistení alebo „iba“ porušenie vlastného rozhodnutia predčasným vyradením záznamu z registratúry. Rovnako si netrúfam hodnotiť potenciálne porušenie registratúrneho plánu, najmä ak je schválený štátnym archívom.
Tento príklad by som rád uzavrel upozornením na to, že požiadavka na jednoznačnosť registratúrnych lehôt si vyžaduje systematické riešenie jednoznačným určením registratúrnych lehôt v príslušných zákonoch; v tomto prípade v zákone o sociálnom poistení.
A nakoniec perlička: jeden z vôbec najzaujímavejších pojmov v Nariadení GDPR, právo na výmaz zverejnených údajov, slangovo označované ako „odverejnenie“, upravené v čl. 17 ods. 2 Nariadenia GDPR, ktorý uvádza (citujem):
„Ak prevádzkovateľ zverejnil osobné údaje a ... je povinný vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.“
Citované ustanovenie je podľa dostupných komentárov orientované na sociálne siete. Samotní prevádzkovatelia sociálnych sietí ale označujú „odverejnenie“ na požiadanie za nevykonateľné a tvrdia, že jediným technicky dostupným riešením je postupné vymazávanie údajov po uplynutí nastavenej doby od zverejnenia.
Ing. Ľ. Janoška
Služby pre prevádzkovateľov informačných systémov
Fair Mind s. r. o.
Naposledy upravil Ing. Ľubomír Janoška : 15.10.17 at 06:47 Dôvod: vymazanie poznámky
Dáša_
A ak sa to týka niečoho, čo sme ešte neriešili, budem to brať ako námet na uprednostnenie konkrétnej témy.
super, tak čo keby sme si skúsili modelovú firmu, tak, že by sme vyskúšali rôzne možnosti.
Napadne mi viacej verzii, tak skúsim postupne, najskôr malé firmy
1. malá firma, neplatiteľ DPh robí pre občanov napríklad kuchyne. Nemá zamesnancov, od svojich zákazníkov má kontaktné údaje, ktoré získal napríklad cez web. Vo svojej databáze kontaktov má meno, adresu, číslo účtu, telefón a mail.
Minimálne pre účely kontroly dane z prijmu musí uchovávať vystavené faktúry.
- Môže na tie faktúry uvádzať aj telefón a mailovú adresu zákazníka?
- Po uplynutí skartačnej lehoty musí na požiadanie všetky kontaktné údaje z databázy vymazať? Alebo ich musí mazať priebežne?
- Čo v prípade, ak svojim potencionálnym zákazníkom, od ktorých má mailové adresy pošle nejaké novinky? Zákazníci, ktorým realizoval zákazku nemusia byť tí istí, ako tí, čo im posiela mail. Možno sa niekto len zaregistroval. Od niekoho môže mať všetky kontaktné údaje aj keď nikdy spolu nič nerealizovali. Ako musí zabezpečiť tieto údaje, kedy je povinný ich mazať?
- Líši sa to, keď má tieto údaje od zákazníkov a novinky cez mail neposiela?
- ktoré údaje zákazníka je najjednoduchšie uchovávať, aby sa okolo toho nemuseli robiť "také caviky alebo manévre"
(rozdelila som to na platiteľa a neplatiteľa DPH, lebo mám pocit, že tam platia iné lehoty na uschovanie dokladov. Ale môžem sa mýliť...)
Napadne mi viacej verzii, tak skúsim postupne, najskôr malé firmy
1. malá firma, neplatiteľ DPh robí pre občanov napríklad kuchyne. Nemá zamesnancov, od svojich zákazníkov má kontaktné údaje, ktoré získal napríklad cez web. Vo svojej databáze kontaktov má meno, adresu, číslo účtu, telefón a mail.
Minimálne pre účely kontroly dane z prijmu musí uchovávať vystavené faktúry.
- Môže na tie faktúry uvádzať aj telefón a mailovú adresu zákazníka?
- Po uplynutí skartačnej lehoty musí na požiadanie všetky kontaktné údaje z databázy vymazať? Alebo ich musí mazať priebežne?
- Čo v prípade, ak svojim potencionálnym zákazníkom, od ktorých má mailové adresy pošle nejaké novinky? Zákazníci, ktorým realizoval zákazku nemusia byť tí istí, ako tí, čo im posiela mail. Možno sa niekto len zaregistroval. Od niekoho môže mať všetky kontaktné údaje aj keď nikdy spolu nič nerealizovali. Ako musí zabezpečiť tieto údaje, kedy je povinný ich mazať?
- Líši sa to, keď má tieto údaje od zákazníkov a novinky cez mail neposiela?
- ktoré údaje zákazníka je najjednoduchšie uchovávať, aby sa okolo toho nemuseli robiť "také caviky alebo manévre"
(rozdelila som to na platiteľa a neplatiteľa DPH, lebo mám pocit, že tam platia iné lehoty na uschovanie dokladov. Ale môžem sa mýliť...)
Ak som to pochopila správne : Právo na zabudnutie - ak viem zdôvodniť, že údaje uschovávam preto, lebo " spracúvanie podmieňuje plnenie zákonnej povinnosti prevádzkovateľa" , tak oznamujem žiadateľovi,že do dátumu povinnej archivácie účtovných/mzdových dokladov jeho právo nie je možné uplatniť, lebo uchovanie je v súlade so zákonnou povinnosťou spracovateľa. Toto by sa mohlo týkať zamestnancov, obchodných partnerov-dodávateľov, odberateľov.
Poznámka okrajovo k téme lehoty uschovávania:
Úschovné lehoty v účtovníctve. Postrehla som návrh zmeny zákona v úložných lehotách. Ak bude schválený, tak budú úložné lehoty údajov účtovníctva pre platiteľa aj neplatiteľa dane rovnaké - 10 rokov.
Poznámka okrajovo k téme lehoty uschovávania:
Úschovné lehoty v účtovníctve. Postrehla som návrh zmeny zákona v úložných lehotách. Ak bude schválený, tak budú úložné lehoty údajov účtovníctva pre platiteľa aj neplatiteľa dane rovnaké - 10 rokov.
Dav
Musíme teda rozlišovať, ktoré údaje podmieňujú splnenie zákonnej povinnosti a ktoré nie.
Takže ak bývalý zamestnanec požaduje po piatich rokoch od skončenia pracovného pomeru výmaz "všetkých" spracúvaných osobných údajov, vymažeme napríklad doklady o absolvovaní školení (právo výmaz sa týka aj spracúvania v listinnej podobe), evidenciu dochádzky a podobne.
Musíme ale ponechať podklady k preddavkom na daň z príjmov, podklady k daňovému bonusu, daňové zúčtovanie... pretože máme povinnosť 10 rokov uchovávať doklady, ktoré by mohli slúžiť ako dôkazy v daňovom konaní. Vrátane osobných údajov vyživovaných osôb. Rovnako si musíme ponechať údaje sociálneho poistenia.
Keby ale tento bývalý zamestnanec požadoval výmaz napríklad po 15 rokoch od skončenia pracovného pomeru, mohli by sme z povinnosti vymazať údaje vyňať iba tie údaje bývalého zamestnanca, ktoré súvisia so sociálnym poistením a všetky ostatné by sme museli vymazať.
(Zjednodušene tu pod "sociálnym poistením" rozumiem poistenie v celej šírke zákonnej povinnosti zamestnávateľa vrátane dôchodkového poistenia, doplnkového poistenia a podobne).
PS:
1/ Nariadenie GDPR sa rovnako uplatňuje v štátoch, v ktorých je registratúrna povinnosť určená zákonom a v štátoch, v ktorých neexistuje právna úprava úschovných lehôt informácií. Preto sa v našom právnom systéme musí uplatňovať súčasne so zákonom o archívoch a registratúrach.
2/ Rovnako je to s nezávislosťou GDPR na tom, či zamestnávateľ má alebo nemá zákonnú povinnosť spracúvať osobné údaje zamestnancov. V štátoch, kde zamestnávateľ nemá oznamovacie povinnosti voči orgánom sociálneho poistenia ani orgánom správy daní, sa osobné údaje bývalých zamestnancov vymazávajú (majú sa vymazať) po uplynutí príslušnej premlčacej lehoty.
Naposledy upravil Ing. Ľubomír Janoška : 30.09.17 at 07:46 Dôvod: upresnenie
Dáša_
Môže na tie faktúry uvádzať aj telefón a mailovú adresu zákazníka?
Nariadenie GDPR upravuje povinnosť minimalizácie spracúvania osobných údajov na úrovni konkrétnej činnosti spracúvania iba v jedinom prípade – pri ich uchovávaní. Neobsahuje ustanovenie, ktoré by upravovalo minimalizáciu rozsahu spracúvaných údajov na úrovni iných jednotlivých činností. Okrem toho (spätné) poskytovanie osobných údajov samotnej dotknutej osobe, ktorá ich poskytla prevádzkovateľovi, je z pohľadu toku informácií prázdnym úkonom, takže je sporné, či by sa vôbec malo považovať za poskytovanie údajov. Ak teda prevádzkovateľ uvedie na faktúre, adresovanej dotknutej osobe, telefónne číslo a e-mailovú adresu tejto dotknutej osoby, neporuší povinnosti a obmedzenia uložené Nariadením GDPR.
Odhliadnuc od tejto úpravy mi osobne nie je jasné, prečo by mala faktúra obsahovať telefónne číslo a e-mailovú adresu zákazníka a ich používanie preto považujem za zbytočnú komplikáciu.
Po uplynutí skartačnej lehoty musí na požiadanie všetky kontaktné údaje z databázy vymazať? Alebo ich musí mazať priebežne?
Skôr by som tu použil (obsahovo širší) výraz registratúrna lehota. Áno, po uplynutí tejto lehoty je prevádzkovateľ povinný vymazať všetky spracúvané osobné údaje. Pre istotu upresním, že ak mal zákazník viacero objednávok, registratúrna lehota sa odvíja od uzavretia posledného obchodného prípadu tohto zákazníka.
Je ale možné, že zákazník požiada o výmaz osobných údajov skôr, než uplynie registratúrna lehota. V tomto prípade treba vymazať tie údaje, ktoré nie sú potrebné pre dokazovanie v súdnych sporoch (registratúrna lehota určená premlčacími lehotami) alebo v daňovom konaní (registratúrna lehota určená daňovými zákonmi), napríklad vyššie spomínané telefónne číslo a e-mailovú adresu (u týchto údajov odporúčam hovoriť iba o retenčnej lehote).
Povinnosť priebežného vymazávania podľa môjho osobného názoru nie je jednoznačne určená (nie je presne doriešený vzťah medzi „spisom“, ktorý podlieha registratúrnej povinnosti a potenciálne vymazaným „údajom“, ktorý je iba jeho súčasťou). V rámci zásady opatrnosti ale odporúčam postupný prechod na počítačové programy, ktoré podporujú riadenie registratúrnych a retenčných lehôt.
- Čo v prípade, ak svojim potencionálnym zákazníkom, od ktorých má mailové adresy pošle nejaké novinky? Zákazníci, ktorým realizoval zákazku nemusia byť tí istí, ako tí, čo im posiela mail. Možno sa niekto len zaregistroval. Od niekoho môže mať všetky kontaktné údaje aj keď nikdy spolu nič nerealizovali. Ako musí zabezpečiť tieto údaje, kedy je povinný ich mazať?
Situácia v spracúvaní údajov na marketing sa zjednodušila. Zatiaľ čo zákon 122/2013 umožňoval spracúvanie osobných údajov na tento účel iba za určitých podmienok (cit. „ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti, výhradne na účely priameho marketingu), Nariadenie GDPR uvádza v recitáli 47 , že „Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem“. Toto zovšeobecnenie jednoznačne umožňuje spracúvať každému prevádzkovateľovi spracúvať osobné údaje na účel priameho marketingu bez súhlasu dotknutej osoby a bez rozlíšenia „zákazníkov“ a „potenciálnych zákazníkov“.
Takmer nezmenená situácia je v situácii, keď dotknutá osoba vyjadrí nesúhlas so spracúvaním jej údajov na účel priameho marketingu. Tam sa podľa zákona 122/2013 uplatňovala povinnosť „blokácie“ predmetných údajov. Táto blokácia mala zabrániť spracúvaniu dotknutých údajov na účel priameho marketingu a súčasne zabrániť opakovaného zaradeniu dotknutej osoby do distribučných zoznamov. Nariadenie GDPR ale ale hovorí súčasne o výmaze predmetných údajov a o povinnosti zabrániť opakovaného zaradeniu dotknutej osoby do distribučných zoznamov. Je zrejmé, že splnenie povinnosti vymazať osobné údaje sa vylučuje s povinnosťou zabrániť opätovnému zaradeniu („Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.“). Usudzujem, že riešením je vytvorenie black-listu – zoznamu osôb vyradených z distribúcie marketingových materiálov a následné vymazanie ich údajov z distribučných zoznamov. Tým sa vytvorí nový proces (informačný systém), môže sa nazvať napríklad „Osoby vylúčené z priameho marketingu“, ktorého účelom bude citované ustanovenie GDPR a právnym základom bude splnenie zákonnej povinnosti prevádzkovateľa (lebo má zákonnú povinnosť zabrániť opakovanému zaradeniu osoby do distribučného zoznamu).
- Líši sa to, keď má tieto údaje od zákazníkov a novinky cez mail neposiela?
Zdroj údajov podľa GDPR nie je podstatný.
- ktoré údaje zákazníka je najjednoduchšie uchovávať, aby sa okolo toho nemuseli robiť "také caviky alebo manévre"
Musíme uchovávať údaje, ktoré sú potrebné pre dokazovanie. Kým je ale otvorený obchodný prípad, môžeme potrebovať ďalšie kontaktné údaje pre operatívnu komunikáciu.
V konečnom dôsledku odporúčam evidovať „právne nezáväzné“ informácie ako akúsi „poznámku“, ktorú treba po premlčaní vymazať a ktorá ani nie je z pohľadu registratúry relevantná.
Naposledy upravil Ing. Ľubomír Janoška : 01.10.17 at 13:10 Dôvod: interpunkcia
Dav
ďakujem
Ing. Ľubomír Janoška
k mailu, prípadne telefonu na fakture - napríklad, ked predávam na sashe, tak kontaktné údaje na zákazníka mám práve na faktúre.
Dáša_
Vzhľadom na súčasnú povinnosť rešpektovať aj zákon o archívoch a registratúrach ich likvidovali až po uplynutí registratúrnej lehoty (v prípade obchodných prípadov ju určovali daňové zákony).
Už aj doteraz bola povinnosť po tejto lehote zlikvidovať spracúvané osobné údaje aj v elektronickej forme. Nebola to príliš známa povinnosť a ani neboli známe prípady sankcionovania za porušenie tejto povinnosti.
Podstatná zmena GDPR je v tom, že prevádzkovateľ má povinnosť informovať dotknutú osobu o registratúrnej lehote a - ak spracúvanie niektorých údajov nie je pokryté zákonnou povinnosťou - aj o retenčnej lehote týchto údajov. ČIže každá dotknutá osoba sa preukázateľne dozvie o svojom práve požadovať výmaz "nadbytočných" údajov, ktoré nie sú pokryté zákonnou registratúrnou lehotou. (A rovnako sa dozvie, že jej osobné údaje budú po x rokoch neaktivity vymazané).
PS - k sashe sa neviem vyjadriť, netuším, v čom je vystavovanie dokladov špecifické a prečo by faktúry mali mať špecifický obsah.
Ing. Ľubomír Janoška
Aha, takže podstata je v tom, že o tomto všetkom musí byť zákazník informovaný
Ing. Ľubomír Janoška
Áno, je to tak.
A máme ďalší tip na prednostný TIP: povinnosť informovať dotknutú osobu a spôsoby jej splnenia.
A máme ďalší tip na prednostný TIP: povinnosť informovať dotknutú osobu a spôsoby jej splnenia.
Dav
Naposledy upravil Ing. Ľubomír Janoška : 02.10.17 at 06:10 Dôvod: preklep
Porady, ktoré by ťa mohli zaujímať
Prihlás sa a sleduj na hlavnej stránke len Porady, ktoré ťa zaujímajú.
Podobné témy
- Príspevkov: 14, Posledný príspevok: 02.02.18
- Príspevkov: 2, Posledný príspevok: 25.09.17
- Príspevkov: 2, Posledný príspevok: 25.09.17
- Príspevkov: 11, Posledný príspevok: 24.09.17
- Príspevkov: 2, Posledný príspevok: 12.08.04
Copyright © PORADA.sk, s.r.o. - žiadna časť stránky nemôže byť rozširovaná, alebo reprodukovaná bez predchádzajúceho súhlasu
