Le cycle de vie des données à caractère personnel

Ο κύκλος ζωής των προσωπικών δεδομένων

Νομική Παρακολούθηση Αρ. 41 – Νοέμβριος 2021

Ο κύκλος ζωής των προσωπικών δεδομένωνΜεταξύ των υποχρεώσεων που προβλέπονται από τον ΓΚΠΔ, υπάρχει μία που μπορεί γρήγορα να μετατραπεί σε πονοκέφαλο για τον υπεύθυνο επεξεργασίας δεδομένων, παρά τον φαινομενικά αβλαβή χαρακτήρα της: πρόκειται για την περίοδος διατήρησης προσωπικών δεδομένων.

Εκ των προτέρων, φαίνεται φυσικό να διατηρούνται τα δεδομένα μόνο για όσο χρονικό διάστημα είναι απαραίτητο για τους επιδιωκόμενους σκοπούς, όπως προβλέπεται στο άρθρο 5.1.ε του ΓΚΠΔ.

Στην πράξη, προκύπτουν πολλά ερωτήματα: πρέπει στη συνέχεια να διαγραφούν οι πληροφορίες; Ή πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς; Ή σύμφωνα με τις νομικές διατάξεις; Τι γίνεται αν τα ίδια δεδομένα χρειάζονται σε δύο ξεχωριστά πλαίσια;

Η περίοδος διατήρησης είναι μία από τις πτυχές στις οποίες η CNIL δίνει ιδιαίτερη προσοχή κατά τους ελέγχους της, όπως αποδεικνύεται από τα σύσκεψη της 29ης Οκτωβρίου σχετικά με τα αρχεία RATP.

Στην εταιρεία επιβλήθηκε πρόστιμο 400.000 ευρώ για παραβίαση των αρχών του σκοπού, της περιόδου διατήρησης και της ασφάλειας των δεδομένων. 

Στο πλαίσιο της διαχείρισης ανθρώπινου δυναμικού της, η RATP διατηρούσε δεδομένα που αφορούσαν τους εκπροσώπους στην ενεργή βάση δεδομένων μιας εφαρμογής που ήταν πολύ ευρέως προσβάσιμη και για χρονικό διάστημα που υπερέβαινε το απαραίτητο για τους επιδιωκόμενους σκοπούς.  

Η CNIL παρατήρησε επίσης ότι η RATP διατήρησε τα αρχεία αξιολόγησης του προσωπικού για περισσότερα από 3 χρόνια μετά τη συνεδρίαση της επιτροπής προαγωγών για την οποία συστάθηκαν, ενώ η διατήρησή τους ήταν απαραίτητη μόνο για 18 μήνες μετά τη σύγκληση αυτών των επιτροπών.

Σε διαφορετικό πλαίσιο, η CNIL είχε ήδη αιχμηρός τον Νοέμβριο του 2020 η διάρκεια διατήρησης των δεδομένων των πελατών της από την εταιρεία Carrefour.

Θεωρεί ότι η περίοδος διατήρησης τεσσάρων ετών είναι υπερβολική και συνιστά τη διατήρηση των δεδομένων των «ανενεργών» πελατών (που δεν έχουν πλέον συναλλαγές με την εταιρεία) για μέγιστο διάστημα τριών ετών (βλ. αυτό το ενημερωτικό δελτίο, Δεκέμβριος 2020).

Τα ακόλουθα βήματα θα καθοδηγήσουν τον υπεύθυνο επεξεργασίας δεδομένων στον καθορισμό των περιόδων διατήρησης:

  • Αποθήκευση δεδομένων σε μια ενεργή βάση δεδομένων, προσβάσιμη σε άτομα του αρμόδιου τμήματος, για παράδειγμα ανθρώπινου δυναμικού, για όσο διάστημα χρειάζονται τα δεδομένα (για παράδειγμα, πληρωμή μισθών)
  • Διαγραφή ή ενδιάμεση αρχειοθέτηση δεδομένων για αποδεικτικούς σκοπούς ή πιθανή δικαστική διαμάχη, με περιορισμένη και ασφαλέστερη πρόσβαση, κατόπιν ειδικής άδειας
  • Διαγραφή ή μόνιμη αρχειοθέτηση υπό ακόμη πιο περιορισμένες συνθήκες πρόσβασης.

Σε κάθε στάδιο, πρέπει να πραγματοποιείται ταξινόμηση και ορισμένα δεδομένα ενδέχεται να διαγραφούν ή να ανωνυμοποιηθούν εάν δεν είναι χρήσιμα ή δεν απαιτούνται από το νόμο.

Όταν τα ίδια δεδομένα χρησιμοποιούνται για δύο διαφορετικούς σκοπούς, πρέπει να εφαρμόζεται ξεχωριστή περίοδος διατήρησης ανάλογα με τους αντίστοιχους σκοπούς, καθώς και κατάλληλοι κανόνες πρόσβασης και διαγραφής.

Το CNIL παρέχει σε ένα πρακτικός οδηγός δημοσίευσε συστάσεις τον Ιούλιο του 2020 και απαριθμεί στα έγγραφα αναφοράς του ορισμένες περιόδους διατήρησης που προβλέπονται από το νόμο.

Παραδείγματα περιλαμβάνουν:

Στο πλαίσιο του ανθρώπινου δυναμικού, δεδομένα υποψηφίων για μέγιστο διάστημα δύο ετών, μισθοδοτικά δελτία για ελάχιστο διάστημα πέντε ετών (κατ' εφαρμογή του άρθρου L. 3243-4 του εργατικού κώδικα)

Σε εμπορικό πλαίσιο, δεδομένα χρέωσης για περίοδο δέκα ετών (υποχρέωση που προβλέπεται από τον Εμπορικό Κώδικα)

Στο πλαίσιο της προστασίας βίντεο, εικόνες για μέγιστη διάρκεια ενός μήνα (άρθρο L. 252-3 του εσωτερικού κώδικα ασφαλείας).

Θα πρέπει να προστεθεί ότι η αυστηρή διαχείριση της επεξεργασίας δεδομένων, η διαγραφή περιττών δεδομένων και ο περιορισμός της πρόσβασης σε δεδομένα εσωτερικά συμβάλλουν στην ασφάλεια των βάσεων δεδομένων.

Αυτά τα βήματα θα διαδραματίσουν προληπτικό ρόλο απέναντι σε εξωτερικές επιθέσεις και τον κίνδυνο παραβίασης δεδομένων, οι οποίοι αποτελούν σημαντικούς κινδύνους σήμερα.

Και επίσης

Γαλλία:

Στις 30 Νοεμβρίου, η CNIL δημοσίευσε μια νέα σύσκεψη σχετικά με τα μέτρα για την καταπολέμηση της πανδημίας Covid-19.

Εφιστά την προσοχή της κυβέρνησης στην ανάγκη, περισσότερο από 18 μήνες μετά την έναρξη της επιδημίας, να παραχθούν στοιχεία που θα επιτρέπουν την πλήρη αξιολόγηση της αποτελεσματικότητας των αρχείων και των συστημάτων που εφαρμόζονται, συμπεριλαμβανομένου του health pass, του αρχείου «εμβολίων» και της εφαρμογής «TousAntiCovid».

Η εποπτική αρχή έχει ξεκινήσει μια πέμπτη φάση ελέγχων, η οποία αφορά κυρίως την περίοδο διατήρησης, τη διαγραφή ή/και την ανωνυμοποίηση των δεδομένων.

Ευρώπη:

Οι εποπτικές αρχές της Ευρωπαϊκής Ένωσης έχουν ξεκινήσει μια κοινή έρευνα σχετικά με τη συμμόρφωση με τον ΓΚΠΔ από την πλατφόρμα πωλήσεων μεταχειρισμένων προϊόντων Vinted.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) ανακοινώνει ένα διάσκεψη στις 16 και 17 Ιουνίου με θέμα την προστασία δεδομένων: «αποτελεσματικοί έλεγχοι στον ψηφιακό κόσμο», συγκεντρώνοντας ομιλητές με θέματα τεχνητής νοημοσύνης, δικαίου ανταγωνισμού και ψηφιακών αγορών και υπηρεσιών.

Το συνέδριο αυτό διοργανώνεται στο πλαίσιο συζητήσεων σχετικά με την ανάγκη συγκέντρωσης των ελέγχων εφαρμογής του ΓΚΠΔ σε ευρωπαϊκό επίπεδο.

Αναφερόμαστε πιο συγκεκριμένα στο κριτικές που εκδόθηκε στις 2 Δεκεμβρίου από την Αντιπρόεδρο της Ευρωπαϊκής Επιτροπής, Βέρα Γιούροβα, σχετικά με την (ανα)αποτελεσματικότητα των ελέγχων σε χώρες όπως η Ιρλανδία.

Στις 21 Οκτωβρίου, επτά Ειδικοί Εισηγητές του ΟΗΕ κατήγγειλαν σε Ανακοίνωση η ευρωπαϊκή πολιτική για την καταπολέμηση της τρομοκρατίας, η οποία, μέσω υπερβολικά αόριστων μέτρων, θα παραβίαζε τις αρχές της νομιμότητας, της αναγκαιότητας και της αναλογικότητας που ορίζονται σε ευρωπαϊκά και διεθνή κείμενα για την προστασία των θεμελιωδών δικαιωμάτων. 

Ο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB)) εγκρίθηκε στις 18 Νοεμβρίου οδηγίες που καθορίζει το πεδίο εφαρμογής των κανόνων που αφορούν τις διεθνείς διαβιβάσεις δεδομένων.

Υπενθυμίζει, μεταξύ άλλων, ότι οι εν λόγω κανόνες ισχύουν για διαβιβάσεις μεταξύ υπευθύνων επεξεργασίας (ή υπεργολάβων) όταν ο εξαγωγέας υπόκειται στον ΓΚΠΔ και διαβιβάζει ή καθιστά τα δεδομένα προσβάσιμα στον εισαγωγέα που βρίσκεται σε τρίτη χώρα.

Αυτοί οι κανόνες μεταφοράς δεν ισχύουν όταν τα δεδομένα διαβιβάζονται από ένα άτομο στην Ευρώπη με δική του πρωτοβουλία. Το έγγραφο είναι ανοιχτό για δημόσια διαβούλευση μέχρι τα τέλη Ιανουαρίου.

Η Επιτροπή επανέλαβε επίσης τις ανησυχίες της σε δελτίο τύπου σχετικά με τις προτάσεις της Ευρωπαϊκής Επιτροπής για τη διακυβέρνηση δεδομένων, τις ψηφιακές υπηρεσίες και τις ψηφιακές αγορές, καθώς και για τη ρύθμιση της τεχνητής νοημοσύνης.

Επισημαίνει την ανεπαρκή προστασία των θεμελιωδών δικαιωμάτων και την κατακερματισμένη εποπτεία, και ζητά την απαγόρευση της χρήσης τεχνητής νοημοσύνης σε δημόσιους χώρους, της δημιουργίας προφίλ παιδιών και της στόχευσης διαφημίσεων με βάση τη συστηματική παρακολούθηση ατόμων.

Αυτό αντηχεί η κλήση του νέου γερμανικού κυβερνητικού συνασπισμού στις 24 Νοεμβρίου για την απαγόρευση της βιομετρικής παρακολούθησης σε δημόσιους χώρους.

Η Ευρωπαϊκή Επιτροπή έχει ξεκινήσει μια διαδικασία επί παραβάσει εναντίον του Βελγίου λόγω έλλειψης ανεξαρτησίας της αρχής προστασίας δεδομένων της.

Το Βέλγιο έχει προθεσμία δύο μηνών για να αντιδράσει, διαφορετικά θα προσφύγει στο Ευρωπαϊκό Δικαστήριο.

Η Επιτροπή Υπουργών του Συμβουλίου της Ευρώπης υιοθετήθηκε στις 3 Νοεμβρίου Σύσταση σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της κατάρτισης προφίλ.

Αυτό το νέο κείμενο ενημερώνει την προηγούμενη σύσταση CM/Rec(2010)13 για το ίδιο θέμα.

Η εταιρεία Κλίαρβιου, που ειδικεύεται στη συλλογή βιομετρικών δεδομένων, βρίσκεται στο στόχαστρο της βρετανικής εποπτικής αρχής.  

Το ICO εξετάζει το ενδεχόμενο να επιβάλει πρόστιμο 17 εκατομμυρίων λιρών στην εταιρεία για συλλογή δεδομένων από Βρετανούς εν αγνοία τους.

Το ICO έρευνα Επιπλέον, σχετικά με τις πρακτικές της εταιρείας Cignpost Diagnostics, η οποία σχεδιάζει να διαθέσει στην αγορά τις γενετικές πληροφορίες που λαμβάνονται από τους πελάτες της κατά τη διάρκεια δοκιμών PCR για τον έλεγχο του ιού COVID. 

Διεθνές:

Ο Ηνωμένα Αραβικά Εμιράτα υιοθετήθηκε στις 28 Νοεμβρίου ομοσπονδιακός νόμος σχετικά με την προστασία δεδομένων. Οι υπεύθυνοι επεξεργασίας δεδομένων θα έχουν προθεσμία 12 μηνών για να διασφαλίσουν τη συμμόρφωση από την ημερομηνία δημοσίευσης του νόμου στην επίσημη εφημερίδα.

Στις 24 Νοεμβρίου, 193 χώρες υιοθέτησαν το σύσταση ΟΗΕ για την ηθική της τεχνητής νοημοσύνης, το οποίο προβλέπει την απαγόρευση της κοινωνικής βαθμολόγησης και της χρήσης Τεχνητής Νοημοσύνης για σκοπούς παγκόσμιας επιτήρησης.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL