Získavaním, zaznamenávaním alebo zhromažďovaním osobných údajov, na základe súhlasu udeleného zákazníkom, si podnikatelia vytvárajú databázu osobných údajov. Podnikateľom, ktorí si doteraz neviedli prehľadné databázy, resp. informačné systémy pre správu osobných údajov vzniknú zbytočné problémy.
Informačný systém GDPR vymedzuje ako akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.
Prečo môže vzniknuť problém?
Nakoľko sa však väčšina podnikateľov počas svojej pôsobnosti zameriavala najmä na vytváranie rozsiahlych databáz kontaktov a osobných údajov s obmedzeným rozsahom použiteľnosti, využívali tak osobné údaje vo výraznejšom rozsahu, než aký zahrňoval právny titul vychádzajúci z pôvodného obchodného vzťahu. Išlo teda o spracovanie osobných údajov nad rámec legitímneho záujmu.
Nová európska smernica, ktorej platnosť je určená na 25. mája 2018 stanovuje, že pri spracovávaní osobných údajov musí byť v súhlase uvedené aké údaje, za akým účelom a v akom rozsahu budú spracovávané. Dotknutá osoba pri tom musí byť informovaná o tom, že má právo svoj súhlas kedykoľvek v budúcnosti odvolať. Súhlas príjemcu sa nedá v žiadnom prípade predať ani kúpiť.
GDPR však zaisťuje, že súhlas má byť zároveň informatívny, aby si dotknutá osoba bola vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov a rozsahu spracúvania osobných údajov. Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne a legitímne uvedené a stanovené v čase získavania osobných údajov.
Pretrieďte si databázy
Zo strany spracovávateľov je preto potrebné vytriediť a upraviť svoje databázy spracovávaných osobných údajov a vyradiť z nich kontakty získané inak ako priamym súhlasom dotknutej osoby. Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním. Súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov. Z toho vyplýva, že spracovateľ nemôže využívať osobné údaje, napr. emailové adresy na zasielanie reklám a newsletterov v prípade, že mu dotknutá osoba nedala takýto súhlas na konkrétne danú operáciu.
GDPR aj v dôsledku uvedeného podnikateľom, resp. správcom osobných údajov stanovuje povinnosť zavedenia vhodných technických a organizačných opatrení. Správcovia tak musia byť schopní dokladovať fakt, že ich spracovávanie osobných údajov prebieha v súlade so spomínaným nariadením európskej únie.