ELIDOR: Ano. A dokonce ten požadavek je přísnější. Ty musíš vědět která data smíš a která data nesmíš držet. A ty, co držet nesmíš, odmazávat.
Je 6 zákonných titulů, které podle gdpr dávaji právo zpracovávat data. Dva se vztahují na zdravotnictví a státní správu. Ty zbývající jsou:
- plněni smlouvy nebo jednání k jejímu uzavření
- plnění zákonné povinnosti (posílání dat finančáku, sociálce a podobně) - sem spadá třeba i povinnost zpracovávat reklamace, což jsou podle občanského zákoníku 2 roky od prodeje
- podepsaný souhlas - sem spadají mj. všechny ty marketingové souhlasy.
- oprávněný zájem - všechno ostatní, kde správce dat dokáže obhájit (!), že právo zpracovávat data je silnější než právo osob na odmazání dat. Důvodem z oprávněného zájmu bývají třeba běžící soudní spory.
Žádosti o smazáni se může vztahovat na ty poslední dva důvody.
V praxi se to dělá třeba tak, že se pro každou smlouvu napočítává, jaké tituly máš k držení dat o ní. Typicky:
(1) obsluha - od jednání o jejím podpisu až po její ukončení
(2) reklamace - od ukončení 2 roky v případě občanského zákoniku. Jiné zákonné povinosti dávají jiné lhůty
(3) archivační povinnost - z různých zákonů různá. Finančák na tebe může přijít 7 let.
(4) marketingový souhlas - po odebrání musíš neprodleně (v řádu dní) tento titul brát jako neplatný
A u smluv, kde nemáš žádný titul, tak mažeš. Takže si uchováváš čísla smluv, kde už jsi pozbyl titulů, a po obnovení ze zálohy je jako první krok smažeš (případně anonymizuješ).