Co tedy vlastně musíme udělat směrem k nositeli osobních údajů? Jak máme správně postupovat, abychom byli v souladu s GDPR?
Existuje několik pravidel, jak postupovat. Předně musí být zpracování údajů naprosto transparentní. Pokud vás nositel osobních údajů požádá o informace, musíte mu oznámit, zda a jaké údaje o něm vedete.
Musíte také vést v patrnosti, že shromažďovat data můžete pouze na základě souhlasu. V případě citlivých údajů na základě výslovného souhlasu. V případě obecných údajů pak na základě třeba konkludentního souhlasu (vizitka) nebo třeba na základě smlouvy (třeba pracovní smlouva…). Tím máme probraný první bod následující tabulky:
Údaje můžeme shromažďovat k určitému účelu. Nelze shromažďovat osobní údaje jen tak, že se nám chce. Musíme to umět zdůvodnit a musí to mít pro nás nějaký účel. Z toho plyne i to, že nesmíme shromažďovat více údajů, než které potřebujeme. Například při přijímacím pohovoru zaměstnance obvykle požadujeme doklad o trestní bezúhonnosti. Ten nám doloží výpisem z trestního rejstříku. Po nahlédnutí mu jej můžeme vrátit a nepotřebujeme jej uchovávat dále. Tomu se říká minimalizace údajů. Ruku v ruce s tím jdou i práva nositelů osobních údajů:
Z těchto práv, která jsou asi zřejmá vypíchněme Omezení. Jedná se o operaci, kdy se například po dobu námitky (než se vyřeší), může omezit přístup k osobním údajům.
V případě veřejného (např. vědecký, statistický, historický výzkum) nebo oprávněného zájmu správce nemusí být data vymazána, ale zájem se musí prokázat.
