Dáša_
super, tak čo keby sme si skúsili modelovú firmu, tak, že by sme vyskúšali rôzne možnosti.
Napadne mi viacej verzii, tak skúsim postupne, najskôr malé firmy
1. malá firma, neplatiteľ DPh robí pre občanov napríklad kuchyne. Nemá zamesnancov, od svojich zákazníkov má kontaktné údaje, ktoré získal napríklad cez web. Vo svojej databáze kontaktov má meno, adresu, číslo účtu, telefón a mail.
Minimálne pre účely kontroly dane z prijmu musí uchovávať vystavené faktúry.
- Môže na tie faktúry uvádzať aj telefón a mailovú adresu zákazníka?
- Po uplynutí skartačnej lehoty musí na požiadanie všetky kontaktné údaje z databázy vymazať? Alebo ich musí mazať priebežne?
- Čo v prípade, ak svojim potencionálnym zákazníkom, od ktorých má mailové adresy pošle nejaké novinky? Zákazníci, ktorým realizoval zákazku nemusia byť tí istí, ako tí, čo im posiela mail. Možno sa niekto len zaregistroval. Od niekoho môže mať všetky kontaktné údaje aj keď nikdy spolu nič nerealizovali. Ako musí zabezpečiť tieto údaje, kedy je povinný ich mazať?
- Líši sa to, keď má tieto údaje od zákazníkov a novinky cez mail neposiela?
- ktoré údaje zákazníka je najjednoduchšie uchovávať, aby sa okolo toho nemuseli robiť "také caviky alebo manévre"
(rozdelila som to na platiteľa a neplatiteľa DPH, lebo mám pocit, že tam platia iné lehoty na uschovanie dokladov. Ale môžem sa mýliť...)
Môže na tie faktúry uvádzať aj telefón a mailovú adresu zákazníka?
Nariadenie GDPR upravuje povinnosť minimalizácie spracúvania osobných údajov na úrovni konkrétnej činnosti spracúvania iba v jedinom prípade – pri ich uchovávaní. Neobsahuje ustanovenie, ktoré by upravovalo minimalizáciu rozsahu spracúvaných údajov na úrovni iných jednotlivých činností. Okrem toho (spätné) poskytovanie osobných údajov samotnej dotknutej osobe, ktorá ich poskytla prevádzkovateľovi, je z pohľadu toku informácií prázdnym úkonom, takže je sporné, či by sa vôbec malo považovať za poskytovanie údajov. Ak teda prevádzkovateľ uvedie na faktúre, adresovanej dotknutej osobe, telefónne číslo a e-mailovú adresu tejto dotknutej osoby, neporuší povinnosti a obmedzenia uložené Nariadením GDPR.
Odhliadnuc od tejto úpravy mi osobne nie je jasné, prečo by mala faktúra obsahovať telefónne číslo a e-mailovú adresu zákazníka a ich používanie preto považujem za zbytočnú komplikáciu.
Po uplynutí skartačnej lehoty musí na požiadanie všetky kontaktné údaje z databázy vymazať? Alebo ich musí mazať priebežne?
Skôr by som tu použil (obsahovo širší) výraz registratúrna lehota. Áno, po uplynutí tejto lehoty je prevádzkovateľ povinný vymazať všetky spracúvané osobné údaje. Pre istotu upresním, že ak mal zákazník viacero objednávok, registratúrna lehota sa odvíja od uzavretia posledného obchodného prípadu tohto zákazníka.
Je ale možné, že zákazník požiada o výmaz osobných údajov skôr, než uplynie registratúrna lehota. V tomto prípade treba vymazať tie údaje, ktoré nie sú potrebné pre dokazovanie v súdnych sporoch (registratúrna lehota určená premlčacími lehotami) alebo v daňovom konaní (registratúrna lehota určená daňovými zákonmi), napríklad vyššie spomínané telefónne číslo a e-mailovú adresu (u týchto údajov odporúčam hovoriť iba o retenčnej lehote).
Povinnosť priebežného vymazávania podľa môjho osobného názoru nie je jednoznačne určená (nie je presne doriešený vzťah medzi „spisom“, ktorý podlieha registratúrnej povinnosti a potenciálne vymazaným „údajom“, ktorý je iba jeho súčasťou). V rámci zásady opatrnosti ale odporúčam postupný prechod na počítačové programy, ktoré podporujú riadenie registratúrnych a retenčných lehôt.
- Čo v prípade, ak svojim potencionálnym zákazníkom, od ktorých má mailové adresy pošle nejaké novinky? Zákazníci, ktorým realizoval zákazku nemusia byť tí istí, ako tí, čo im posiela mail. Možno sa niekto len zaregistroval. Od niekoho môže mať všetky kontaktné údaje aj keď nikdy spolu nič nerealizovali. Ako musí zabezpečiť tieto údaje, kedy je povinný ich mazať?
Situácia v spracúvaní údajov na marketing sa zjednodušila. Zatiaľ čo zákon 122/2013 umožňoval spracúvanie osobných údajov na tento účel iba za určitých podmienok (cit. „ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti, výhradne na účely priameho marketingu), Nariadenie GDPR uvádza v recitáli 47 , že „Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem“. Toto zovšeobecnenie jednoznačne umožňuje spracúvať každému prevádzkovateľovi spracúvať osobné údaje na účel priameho marketingu bez súhlasu dotknutej osoby a bez rozlíšenia „zákazníkov“ a „potenciálnych zákazníkov“.
Takmer nezmenená situácia je v situácii, keď dotknutá osoba vyjadrí nesúhlas so spracúvaním jej údajov na účel priameho marketingu. Tam sa podľa zákona 122/2013 uplatňovala povinnosť „blokácie“ predmetných údajov. Táto blokácia mala zabrániť spracúvaniu dotknutých údajov na účel priameho marketingu a súčasne zabrániť opakovaného zaradeniu dotknutej osoby do distribučných zoznamov. Nariadenie GDPR ale ale hovorí súčasne o výmaze predmetných údajov a o povinnosti zabrániť opakovaného zaradeniu dotknutej osoby do distribučných zoznamov. Je zrejmé, že splnenie povinnosti vymazať osobné údaje sa vylučuje s povinnosťou zabrániť opätovnému zaradeniu („Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.“). Usudzujem, že riešením je vytvorenie black-listu – zoznamu osôb vyradených z distribúcie marketingových materiálov a následné vymazanie ich údajov z distribučných zoznamov. Tým sa vytvorí nový proces (informačný systém), môže sa nazvať napríklad „Osoby vylúčené z priameho marketingu“, ktorého účelom bude citované ustanovenie GDPR a právnym základom bude splnenie zákonnej povinnosti prevádzkovateľa (lebo má zákonnú povinnosť zabrániť opakovanému zaradeniu osoby do distribučného zoznamu).
- Líši sa to, keď má tieto údaje od zákazníkov a novinky cez mail neposiela?
Zdroj údajov podľa GDPR nie je podstatný.
- ktoré údaje zákazníka je najjednoduchšie uchovávať, aby sa okolo toho nemuseli robiť "také caviky alebo manévre"
Musíme uchovávať údaje, ktoré sú potrebné pre dokazovanie. Kým je ale otvorený obchodný prípad, môžeme potrebovať ďalšie kontaktné údaje pre operatívnu komunikáciu.
V konečnom dôsledku odporúčam evidovať „právne nezáväzné“ informácie ako akúsi „poznámku“, ktorú treba po premlčaní vymazať a ktorá ani nie je z pohľadu registratúry relevantná.
Naposledy upravil Ing. Ľubomír Janoška : 01.10.17 at 13:10 Dôvod: interpunkcia