Porušení povinností vymazání osobních údajů
Porušení ochrany osobních údajů nebo Obecného nařízení o ochraně osobních údajů (GDPR) může být sankcionováno vysokými pokutami. Tak Hamburgský pověřenec pro ochranu údajů a svobodu informací (HmbBfDI) uložil pokutu ve výši 900 000 eur společnosti z oblasti správy pohledávek, protože osobní údaje nebyly včas smazány.
S příchodem Obecného nařízení o ochraně osobních údajů (GDPR) se výrazně zvýšily požadavky na ochranu údajů pro firmy. Firmy musí při zpracování osobních údajů přijmout vhodná opatření k ochraně údajů. Navíc mají dotčené osoby nárok na včasné vymazání svých údajů. V případě porušení práva na ochranu osobních údajů nebo GDPR mohou společnosti čelit značným pokutám, jak uvádí advokátní kancelář MTR Legal, která mimo jiné poskytuje poradenství v oblasti IT práva.
Kontrola společností v oblasti správy pohledávek
Ukládání jejich osobních údajů může být zejména pro dlužníky v platební neschopnosti obrovskou zátěží. Jejich údaje jsou navíc pravidelně předávány úvěrovým agenturám. To může například výrazně ztížit uzavření smlouvy. Proto je pro dlužníky velmi důležité, aby jejich údaje byly po uplynutí příslušných lhůt opět smazány.
Hamburk je významným místem v oblasti správy pohledávek. Hamburgský pověřenec pro ochranu údajů a svobodu informací (HmbBfDI) proto v rámci zaměřené kontroly důkladně prozkoumal silné společnosti v oblasti správy pohledávek.
Převážně pozitivní závěr
Přitom bylo obecně zkoumáno, jak jsou u firem osobní údaje ukládány a dále zpracovávány. Ochránci údajů navštívili několik společností na jejich pracovištích. Přitom mohli dohlížitelé na ochranu údajů dojít k převážně pozitivnímu závěru. Zejména se zlepšila transparentnost firem vůči dotčeným osobám, uvedl pověřenec pro ochranu údajů ve svém tiskovém prohlášení vydaném 12. listopadu 2024.
Údaje uchovávány příliš dlouho
Existují však i výjimky. Kontroloři například zjistili u jedné společnosti, že stále uchovává datové sady, přestože lhůty pro vymazání již dávno vypršely. Společnost tím ukládala datové sady s osobními údaji v šestimístném rozsahu bez právního základu. To je porušení čl. 5 odst. 1 písm. a, odst. 6 písm. 1 GDPR. Údaje sice nebyly předány třetím stranám, ale přesto byly po dobu 5 let po uplynutí zákonných lhůt pro uchování stále uloženy a z databáze nebyly smazány, uvedl dále hamburgský pověřenec pro ochranu údajů.
Za toto porušení uložil pověřenec pro ochranu údajů pokutu ve výši 900 000 eur společnosti. Společnost pokutu přijala. K tomu, že spolupracovala s orgánem dohledávajícím ochranu údajů při zpracování porušení ochrany údajů, bylo při stanovení výše pokuty přihlédnuto. Podobné porušení byla zjištěna i u další společnosti. Zde ale ještě vyšetřování nejsou dokončena.
Pokud je vztah se zákazníkem ukončen, musí být uložené údaje ihned nebo po uplynutí lhůt pro uchování smazány. Porušení těchto povinností může být drahé, jak ukazuje příklad hamburské společnosti. Aby se takovým porušením vyhnuly, měly by společnosti integrovat efektivní compliance pro ochranu osobních údajů.
Včasné vymazání údajů
Aby bylo možné nakládat s citlivými osobními údaji v souladu se zákonem, mělo by být vypracováno také systematické koncepce pro jejich vymazání, aby nebyly nelegálně ukládány, a tím nebylo porušeno GDPR. Již při shromažďování údajů by mělo být jasno, zda a jak dlouho mohou být ukládány a dále zpracovávány. Tak mohou být pokuty za porušení ochrany osobních údajů vyloučeny a důvěra zákazníků posílena.
Je třeba mít na paměti, že ochrana osobních údajů hraje důležitou roli nejen ve vztahu ke klientům, ale také interně ve vztahu k zaměstnancům. I zaměstnanci mají podle GDPR právo na informace od svého zaměstnavatele ohledně používání jejich osobních údajů.
MTR Legal poskytuje poradenství v právu na ochranu osobních údajů a v dalších otázkách IT práva.
Neváhejte kontaktovat nás!
