Predstavte si, že chcete zmeniť nastavenie služieb u vášho mobilného operátora alebo poskytovateľa internetu či banky. Často dopadnete tak, ako som dopadol ja. Zmluva bola odoslaná na adresu, na ktorej už nebývam, SMS kódy na overenie na staré telefónne číslo a e-mail na vysokoškolskú adresu. Samozrejme, každý z nás má povinnosť aktualizovať svoje osobné údaje. Čo však robia spoločnosti s osobnými údajmi, o ktorých vedia, že už nie sú aktuálne alebo ich jednoducho už nepotrebujú? Teraz im legislatívna požiadavka priamo ukladá, že ich musia pod hrozbou vysokých sankcií zlikvidovať.
Toto je okrem iného jedna z oblastí, ktorú pokrýva známe GDPR, Všeobecné nariadenie o ochrane osobných údajov č. 679/2016 alebo General Data Protection Regulation. Za 93 článkami tejto legislatívy sa totiž skrýva toto: Ten, kto spracúva (získava, analyzuje, ukladá...) osobné údaje („prevádzkovateľ“ osobných údajov), ich smie spracúvať iba na presne definovaný účel, iba v minimálnom potrebnom rozsahu, ktorý je na tento účel potrebný, a čo je najdôležitejšie: iba po minimálnu potrebnú dobu.
Predstavte si, že si rezervujete ubytovanie v hoteli.
- Prevádzkovateľ (hotel) smie spracúvať vaše osobné údaje iba na ten účel, na ktorý ste mu ich poskytli, a nesmie vás napríklad kontaktovať s reklamami na lacné letenky alebo poistenie auta (bez toho, aby ste mu na to dali súhlas).
- Rovnako nesmie požadovať také osobné údaje, ktoré na poskytnutie ubytovania nepotrebuje.
- Tretia zásada je však najzávažnejšia a prináša aj najväčšie výzvy pri jej uplatňovaní: prevádzkovateľ smie osobné údaje spracúvať len po minimálnu dobu, ktorá je na daný účel potrebná. Po uplynutí tejto doby by mal osobné údaje zlikvidovať.
Čo je to minimálna potrebná doba?
Samozrejme, že prevádzkovateľ nemôže osobné údaje vymazať, pokiaľ nám poskytuje služby, lebo inak by nám ich nebol schopný poskytnúť. Čo však potom, keď odcestujem z hotela alebo keď sa poskytovanie služby skončí? Ako dlho zostanú potom naše osobné údaje uložené v systémoch, o ktorých ani netušíme?
Najčastejšou odpoveďou, s ktorou sa stretávam vo firmách v dnešnej dobe, je – veľmi dlho. To neznamená, že prevádzkovatelia nariadenie GDPR ignorujú. V poslednom roku sme videli obrovské úsilie, aby nás spoločnosti informovali o tom, ako údaje spracúvajú (všimnite si sekciu „Ochrana osobných údajov“ na stránke vášho poskytovateľa služieb). A skutočne si dávajú pozor, aby ich bez nášho súhlasu nespracúvali na iné účely. Je tu však ešte jedna povinnosť, ktorú spoločnosti musia splniť, a tou je likvidácia našich osobných údajov, ktoré už nemajú dôvod ďalej spracúvať.
V praxi však vždy vidím, že keď sa spoločnosti začnú touto povinnosťou prakticky zaoberať, vynorí sa množstvo ďalších problémov, na ktoré nie sú pripravené:
1) je potrebné určiť, ako dlho ktoré typy osobných údajov uchovávať alebo archivovať,
2) je potrebné určiť, od ktorého momentu začína archivačná doba plynúť,
3) firmy musia vedieť, že ak na jeden účel už údaje nie sú potrebné, na iný účel to tak nemusí byť,
4) je potrebné zvážiť, či je vôbec pri previazanosti rôznych systémov technicky možné údaje zlikvidovať tak, že sa fyzicky vymažú.
Navyše, firmy musia nielen zlikvidovať „historické“ údaje, ale aj nastaviť systémy tak, aby boli schopné priebežne likvidovať údaje, ktoré aktuálne spracúvajú. To znamená, že určite nestačí len „papierovo“ evidovať dĺžku archivačnej doby, ale je potrebné implementovať praktické pravidlá likvidácie priamo v informačných systémoch.
Taká jasná zákonná požiadavka na likvidáciu dát v informačných systémoch, ako prikazuje GDPR pre osobné údaje, tu ešte nebola. Prevádzkovateľom osobných údajov prináša obrovské organizačné a technické výzvy. Uchovávanie osobných údajov iba po minimálnu potrebnú dobu však zabezpečí, že naše údaje sa nebudú „túlať“ po zákutiach neznámych úložísk bez obmedzenia. Náročnou úlohou pre firmy ako prevádzkovateľov osobných údajov je nájsť a zaviesť efektívnejší spôsob, ako uchovávať a následne likvidovať naše údaje, pretože nedodržanie tejto povinnosti je prísne sankcionované.
