Je třeba mazat stávající osobní údaje - GDPR
Je třeba smazat všechny osobní údaje získané před účinností GDPR? Většinu osobních údajů na našem e-shopu jsme získali na základě souhlasu, který není v souladu s GDPR. Je třeba všechny tyto osobní údaje smazat?
Odpověď
Ne není. Vodítko zveřejněné pracovní skupinou WP29 k tomuto doslova říká:
Pokud správce zjistí, že souhlas získaný ještě dříve podle staré legislativy, nesplňuje standard Obecného nařízení, musí posoudit, zda by zpracování mohlo být založeno na jiném právním základě s přihlédnutím k podmínkám stanoveným Obecným nařízením. Bude to však ojedinělá situace, neboť správci opouštějí uplatňování směrnice ve prospěch aplikace Obecného nařízení. Obecné nařízení neumožňuje nahrazovat jeden právní základ druhým. Není-li správce schopen obnovit souhlas řádným způsobem a nedokáže ani dosáhnout souladu s Obecným nařízením opřením svého zpracování dat o jiný právní základ při zajištění, aby toto zpracování nadále probíhalo korektně a odpovědným způsobem, musí být zpracovatelské činnosti zastaveny. Správce každopádně musí dodržovat zásady zákonného, korektního a transparentního zpracování.
Pokud jste tedy zjistili, že některé Vámi zpracovávané osobní údaje nevyhovují souhlasu podle GDPR je třeba se podívat zda nepodléhají jinému právnímu titulu a případně jejich zpracování překvalifikovat. Tuto změnu právního titulu je možné provést, ale pouze nyní. V budoucnu není možné právní titul během zpracování měnit.
Příklad:
E-shop měl nastaven souhlas u všech přijatých objednávek. Tento souhlas podmínkám souhlasu podle GDPR nevyhovuje, ale osobníúdaje je možné zpracovávat podle právního titulu "plnění smlouvy" článek 6 odstavec 1 písmeno b.