Zdroj foto: Shutterstock

Každá firma musí skúmať, či osobné údaje, ktoré má vo svojich informačných systémoch,  získava a zaznamenáva len v nevyhnutnom rozsahu. „Osobné údaje musia byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú,“ píše sa v Článku 5 nariadenia GDPR. 

Firmy musia mať úplne jasno v tom, aký je právny základ spracovávania osobných údajov. To sa týka každej spracovateľskej operácie osobitne. Napríklad v prípade informačného systému v oblasti ľudských zdrojov a miezd sú osobné údaje vo väčšine prípadov spracúvané na základe osobitných právnych predpisov z oblasti sociálneho zabezpečenia. Ak by však súčasťou spracovávania boli napríklad fotografie zamestnancov, je potrebné získať súhlas so spracovaním, pretože práve tento súhlas vytvorí právny základ pre spracovanie fotografie. Presné podmienky zákonnosti spracovávania údajov uvádza Článok 6 nariadenia GDPR. 

Podobné obmedzenia platia aj pre uchovávanie osobných údajov. Taktiež to nie je možné, ak na to firma nemá konkrétny dôvod. „Uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú,“ uvádza opäť Článok 5. Osobné údaje sa môžu uchovávať aj dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely. Firma však v takom prípade musí údaje spracovávať v súlade s Článkom 89 odsekom 1 a musí prijať primerané technologické a organizačné opatrenia. 

Okrem spomínanej minimalizácie údajov a minimalizácie uchovávania platí aj obmedzenie účelu. „Osobné údaje musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi,“ uvádza GDPR. Výnimku opäť tvoria vedecké, historické a štatistické účely v súlade  s Článkom 89 odsekom 1.

Do 25. mája 2018 je preto nevyhnutné preskúmať:

• Aké osobné údaje spracúvate v jednotlivých informačných systémoch
• Či sú všetky tieto osobné údaje potrebné k dosiahnutiu stanoveného účelu spracúvania
• Či pre spracúvanie všetkých osobných údajov existuje relevantný právny základ
• Či je pri spracúvaných osobných údajoch stanovená doba takéhoto spracúvania
• či sa v spoločnosti nenachádzajú osobné údaje, pri ktorých uplynula stanovená doba spracúvania.