Popis problému, ktorý vznikol
V máji 2020 bola francúzskemu kontrolnému orgánu doručená sťažnosť od odborového zväzu, ktorá sa týkala neoprávneného spracúvania osobných údajov. Išlo o údaje o počte dní, počas ktorých sa dotknuté osoby zúčastnili štrajku, pričom tieto údaje boli súčasťou agendy pre hodnotenie kariérneho rastu dotknutej osoby.
Na základe šetrení bolo zistené, že tieto údaje neboli nevyhnutné pre dosiahnutie účelu spracúvania. Postačoval údaj o počte dní neprítomnosti, a to bez toho, aby bol dôvod neprítomnosti ďalej bližšie špecifikovaný (účasť na štrajku).
Ďalej bolo zistené, že osobné údaje potrebné k hodnoteniu zamestnancov boli uchovávané aj viac ako 3 roky, pričom k naplneniu účelu spracúvania bola postačujúca lehota 18 mesiacov odo dňa hodnotenia ďalšieho kariérneho rastu dotknutej osoby (ktorej výsledkom bolo napríklad povýšenie jednotlivca).
Kontrolný orgán poznamenal, že prevádzkovateľ taktiež dostatočne nezabezpečoval, aby mali oprávnené osoby prístup len k tým osobným údajom dotknutých osôb, ktoré nevyhnutne potrebujú k plneniu ich pracovných povinností. Neboli tak prijaté dostatočné opatrenia pred možným zneužitím údajov, s cieľom zabezpečenia dôvernosti. Prevádzkovateľovi bola uložená pokuta 400000 eur.
Celý dokument si môžete prečítať na adrese: https://www.cnil.fr/fr/fichiers-devaluation-des-agents-sanction-de-400-000-euros-lencontre-de-la-ratp
Čo urobiť, aby ste sa neocitli v rovnakej situácii?
Každé jedno spracúvanie, ktoré vo vašej firme alebo organizácii prebieha, môže byť vykonávané len osobnými údajmi, ktoré sú nevyhnutné. Teda s takými, bez ktorých nie je možné vytýčený účel spracúvania dosiahnuť. Hovoríme o dodržiavaní zásady “minimalizácie údajov”. Táto a ďalších šesť dôležitých zásad je predmetom čl. 5 všeobecného nariadenia o ochrane údajov. Okrem zásady “minimalizácie údajov” nebola v uvedenom príklade nedodržiavaná ani zásada “minimalizácie uchovávania”. Je venovaná dobe, počas ktorej má prevádzkovateľ oprávnenie s osobnými údajmi manipulovať. Je nastavená tak, že ako prevádzkovateľ by ste nemali uchovávať dlhšie, ako je to nevyhnutne potrebné. O dobe uchovávania by ste mali informovať dotknuté osoby, ako súčasť plnenia vašej informačnej povinnosti. Aj táto by mala byť určená konkrétne. Nie je správne, ak by ste dotknutým osobám len oznámili, že ich osobné údaje budete spracúvať len tak dlho, ako je to nevyhnutne potrebné, alebo tak dlho, ako vám to prikazuje zákon. Ak lehotu nie je možné presne konkretizovať (napríklad v rokoch), potom je potrebné uviesť mechanizmus na jej určenie (napríklad 10 rokov od zániku platnosti zmluvy).
Pokiaľ ide o oprávnené osoby, tieto by mali mať pri spracúvaní prístup len k tým osobným údajom, ktoré sú nevyhnutné pre plnenie ich pracovných povinností.
Kde v GDPR Academy nájdete jednoduché vysvetlenie, ako to urobiť?
Základné zásady spracúvanie nájdete vysvetlené v 2. lekcii online kurzu GDPR pre firmy a organizácie. Okrem zásady “minimalizácie údajov” a zásady “minimalizácie uchovávania” sa dozviete aj o zásade “správnosti” a “integrity a dôvernosti”, ktoré musíte pri každom spracúvaní dodržiavať. A v súlade so zásadou “zodpovednosti” aj náležite preukázať.
Vaše oprávnené osoby si zaviažete pokynmi v samostatnom online kurze GDPR pre oprávnenú osobu. Je určený pre pracovníkov, ktorí pri výkone svojich pracovných povinností spracúvajú osobné údaje.
Aby bol vo vašej firme prehľad, ako výkon práv dotknutých osôb zabezpečiť, prevezmite si špeciálnu bezpečnostnú smernicu, ktorá je určená práve na to.
Praktické otázky a ich riešenia, ktoré sa týkajú dodržiavania základných zásad nájdete v databáze znalostí GDPR Academy. Stačí si vyhľadať napríklad slovné spojenie “základné zásady”.