Celou dobu mluvíme o zpracování osobních údajů. Ale co to vlastně je? Máme o tom správnou představu?
Obecná definice hovoří o tom, že to je jakákoli operace nebo soubor operací s osobními údaji, které jsou prováděny s pomocí nějakých postupů. Tato definice nám moc neřekne, tak si pojďme ty operace vyjmenovat:
GDPR se vztahuje na veškeré osobní údaje a je úplně jedno, v jaké formě tyto údaje máte. Jestli v elektronické nebo papírové… I taková poznámka na papírku na monitoru je špatně z hlediska GDPR.
Je třeba si uvědomit že cokoliv, i třeba taková identifikace předložením občanského průkazu je zpracování osobních údajů – nahlédnutí.
A zde nastává ten kámen úrazu. Vysvětlím na příkladu. Když někdo (třeba nespokojený zaměstnanec) přijde, že si nepřeje, abyste o něm vedli osobní údaje, budete muset všechny vymazat kromě údajů, které jste povinni vést jiným právním předpisem (třeba mzdy). A budete mu muset odpovědět, že jste jeho údaje skartovali k určitému datu a konkrétním postupem, kromě údajů, které jste povinni vést díky vyššímu nebo veřejnému zájmu.
Pokud ale budete muset skartovat nebo zrušit tyto údaje, musíte mít povědomí, kde všude ty údaje máte, například v mailech, přílohách, úložišti, poznámkách apod. Pokud o tom nebudete mít povědomí a nebudete na takovou eventualitu připraveni, nemůže se vám to povést. Proto je nutný audit a analýza na začátku.
Nositeli osobních údajů musíte odpovědět ve formě, v jaké byla žádost podána (na písemnou písemně, na elektronickou elektronicky).
