Jedním ze základních stavebních kamenů zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), známého pod zkratkou GDPR, je zásada omezení uložení osobních údajů. Tento článek rozebere tuto zásadu podrobněji.
Doby zpracování osobních údajů podle GDPR
Mgr.
Marek
Martinka
Zásada omezení uložení osobních údajů vyplývá za čl. 5 odst. 1 písm. e) GDPR, které uvádí, že:
„osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů (‚omezení uložení‘).“
Připomeňme, že za dodržení zásady omezení uložení odpovídá správce osobních údajů, který je rovněž povinen dodržení této zásady v případě kontroly doložit. Za nedodržení této povinnosti pak může následovat sankce ze strany dozorového úřadu. Co se týče specifikace doby, která je nezbytná pro účely zpracování, tak tu v GDPR nenajdeme. Zde nechává GDPR prostor pro vlastní, avšak vždy právně odůvodněné uvážení správce osobních údajů. Obecně platí, že zpracování by mělo trvat po co možná nejkratší dobu. Existují však také právní předpisy, které stanovují archivační povinnost u některých dokumentů a které jsou ke GDPR co do doby zpracování ve vztahu speciality, čili mají přednost.
V českém právním prostředí mezi zákony, z nichž archivační povinnosti vyplývají, patří především zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů, zákon č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů, zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů, zákon č. 187/2006 Sb., o nemocenském pojištění, ve znění pozdějších předpisů, zákon č. 499/2004 Sb., o archivnictví a spisové službě, ve znění pozdějších předpisů, či zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů.
Lze proto doporučit, aby si každý správce osobních údajů (tj.
de facto
každý podnikatelský subjekt) vedl srozumitelnou evidenci archivačních dob ve vztahu k jednotlivým osobním údajům, které zpracovává. K tomu je vhodné zavést organizační interní mechanismy, organizační řády a pravidelné interní audity, které zajistí, správně stanoví lhůty pro výmaz a přezkum v souladu se zákonem. Evidence archivačních dob může mít podobu tabulky, ideálně interaktivní, její návrh vč. příkladů obvykle zpracovávaných osobních údajů, uvádím níže:Doby uložení osobních údajů
I.
Oblast financí
| č. | Proces/zdroj dat | Subjekt údajů | Účel zpracování | Doba uložení a rozhodná událost pro výmaz |
| 1. | Účetní doklady | Osoby uvedené v účetních dokladech | Vedení účetnictví | Po dobu 5 let počínajících koncem účetního období, kterého se týkají |
| 2. | Daňové doklady | Osoby uvedené v daňových dokladech | Zpracování DPH | Po dobu 10 let od konce zdaňovacího období, ve kterém se plnění uskutečnilo |
II.
Oblast HR
| No. | Proces/zdroj dat | Osoby, jejichž osobní údaj je zpracováván | Účel zpracování | Doba uložení a rozhodná událost pro výmaz |
| 1. | Nábor zaměstnanců | Účastníci náboru | Nábor zaměstnance pro určitou pozici | Pokud byl kandidát vybrán, měly by být údaje ostatních osob, které nebyly vybrány, odstraněny po ukončení náboru. Pokud nebyl kandidát vybrán, měly by být veškeré údaje osob, které nebyly vybrány, odstraněny bez prodlení. Výjimkou z výše uvedeného je případ, kdy uchazeč vyjádřil svůj souhlas s tím, že může být kontaktován pro účely dalšího náboru zaměstnanců. V takovém případě by měly být údaje vymazány nejpozději po uplynutí jednoho roku od ukončení prvního náborového procesu, pokud kandidát nesouhlasil s účastí po kratší dobu. |
| 2. | Databáze uchazečů o práci | Údaje o osobách, které souhlasily se zpracováním svých osobních údajů pro účely budoucího přijetí do zaměstnání (žádost uchazečů bez uvedení konkrétního náboru a oznámení osob na konkrétní pozici s odděleným souhlasem se zpracováním jejich údajů pro budoucí náborový proces) | Vedení databáze pro účely budoucího kontaktování uchazečů s pracovní nabídkou | Pokud by uchazeč o práci vyjádřil souhlas s tím, že může být kontaktován pro účely dalšího náboru zaměstnanců, údaje by měly být vymazány po skončení dohodnuté doby. |
| 3. | Pracovní smlouva, doklady o trvání a ukončení pracovněprávního vztahu, doklady | Zaměstnanci | Výkon právní povinnosti zaměstnavatele | Po dobu 30 let od ukončení zaměstnání |
| 4. | Doklady k pracovnímu úrazu a nemoci z povolání | Zaměstnanci, bývalí zaměstnanci, kteří utrpěli pracovní úraz nebo nemoc z povolání | Výkon právní povinnosti zaměstnavatele | Po dobu 30 let následujících po roce, kterého se týkají |
| 5. | Dokumentace o zdravotním stavu zaměstnance | Zaměstnanci | Výkon právní povinnosti zaměstnavatele | Po dobu tří let od ukončení zaměstnání |
| 6. | Mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění | Zaměstnanec – poživatel starobního důchodu | Výkon právní povinnosti zaměstnavatele | po dobu 30 let po roce, kterého se týkají (10 let v případě poživatele starobního nebo invalidního důchodu) |
| 7. | Zaměstnanecké motivační programy, zaměstnanecké akcie | Zaměstnanci | Účast v motivačním programu zaměstnavatele | Údaje by měly být uschovávány po dobu účasti zaměstnance v programu a dále tři roky od ukončení jeho účasti v programu (obrana nároků) |
| 8. | Kontakt s bývalými zaměstnanci | Bývalí zaměstnanci | Pořádání akcí pro bývalé zaměstnance a zasílání pozvánek na ně | Bez omezení, dokud bývalý zaměstnanec nevznese námitku |
| 9. | Školení | Zaměstnanci | Školení zaměstnanců, zvyšování jejich kvalifikace | Dokumenty o školení by ve většině případů měly být vymazány po skončení pracovního poměru zaměstnanců. Pokud však se jedná o školení BOZP, doporučujeme uchovat po dobu tří let od ukončení zaměstnání. Pokud mělo školení vliv na výši odměny, doporučujeme záznam uchovat po dobu 3 let od ukončení zaměstnání. |
| 10. | Hodnocení zaměstnanců, důtky, výtky | Zaměstnanci | Hodnocení zaměstnanců, kariérní růst, převedení na jinou pozici nebo ukončení pracovního poměru | Pokud mělo hodnocení vliv na výši mzdy ( bonus ) nebo ukončení pracovního poměru – tři roky od ukončení pracovního poměru. |
| 11. | Pracovní cesta | Zaměstnanci | Vypořádání cestovních výdajů | Tři roky od provedení pracovní cesty |
| 12. | Dovolenky | Zaměstnanci | Výkon právní povinnosti zaměstnavatele | 10 let |
| 13. | Údaje a doklady o mzdě, písemnosti týkající se srážek ze mzdy | Zaměstnanci | Výkon právní povinnosti zaměstnavatele | 30 let od roku, kterého se týkají |
| 14. | Doklady za oblasti nemocenského pojištění | Zaměstnanci účastni na pojištění | Výkon právní povinnosti zaměstnavatele | 10 let od roku, kterého se týkají |
| 15. | Záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti | Zaměstnanci | Výkon právní povinnosti zaměstnavatele | Šest roků po měsíci, kterého se záznam týká; vždy však po dobu tří let následujících po měsíci v němž bylo dlužné pojistné za tento měsíc zaplaceno |
| 16. | Záznamy o údajích potřebných pro účely důchodového pojištění | Zaměstnanci | Výkon právní povinnosti zaměstnavatele | 10 let od roku, kterého se týkají |
III.
Doby úschovy – Obchod
| č. | Proces/zdroj dat | Osoby, jejichž osobní údaj je zpracováván | Účel zpracování | Doba uložení a rozhodná událost pro výmaz |
| 1. | Kontakt a korespondence | Klienti, potenciální klienti, obchodní partneři | Realizace obchodní činnosti, business development | Lze uchovávat bez omezení, dokud není vznesena námitka proti zpracování |
| 2. | Smlouvy s klienty | Klienti | 1. uzavření smlouvy s klientem 2. plnění smlouvy | Údaje by měly být uloženy po dobu promlčecí doby (zákonné, či smluvně ujednané) |
| 3. | Obchodní sdělení | Klienti, obchodní partneři, potenciální klienti a obchodní partneři | 1. Zasílání newsletteru a dalších sdělení | Údaje by měly být uchovávány po dobu neomezenou, jedná-li se o kontakt, se kterým správce měl obchodní nebo obdobný vztah / nebo dle souhlasu se zpracováním |
IV.
Oblast bezpečnosti
| č. | Proces/zdroj dat | Osoby, jejichž osobní údaj je zpracováván | Účel zpracování | Doba uložení a rozhodná událost pro výmaz | |
| 1. | Kamerový systém | Zaměstnanci, smluvní partneři, hosté | Zajištění bezpečnosti budovy, kontrola plnění povinností | Údaje by měly být uchovány maximálně po dobu 3 dnů (pokud záznam v konkrétním případě neslouží jako podklad pro vyjasnění události) | |
| 2. | Administrativní správa | Zaměstnanci, smluvní partneři, hosté | Zajištění bezpečnosti, kontrola plnění povinností | Není stanoveno, vhodné nastavit přiměřeně sledovanému účelu |
Pamatujme však, že ne vždy je nutné po uplynutí zákonné doby pro archivaci skartovat. Naopak uchovávání bude i nadále v souladu se zákonem, pokud zde bude alespoň jeden ze zákonných důvodů pro zpracování, které jsou upravené v čl. 6 GDPR. Jsou jimi mj. souhlas subjektu údajů, plnění smlouvy (vč. doby trvající reklamace nebo záruční doby), plnění právní povinnosti (např. zpravodajská povinnost vůči Českému statistickému úřadu) či zpracování nezbytné pro účely oprávněných zájmů správce (např. probíhající soudní spor). Různých situací může přicházet vícero, vždy je však třeba přistupovat ke zpracování osobních údajů proaktivně a právně odůvodněně.