Isikuandmete elutsükkel

Õiguslik valve nr 41 – November 2021

Isikuandmete elutsükkelIsikuandmete kaitse üldmäärusega sätestatud kohustuste hulgas on üks, mis võib vaatamata oma näiliselt süütule olemusele andmetöötlejale kiiresti peavalu tekitada: see on isikuandmete säilitamise tähtaeg.

A priori tundub loomulik säilitada andmeid ainult nii kaua, kui see on taotletavate eesmärkide saavutamiseks vajalik, nagu on sätestatud isikuandmete kaitse üldmääruse artiklis 5.1.e.

Praktikas tekib palju küsimusi: kas teave tuleks seejärel kustutada? Või peaks seda säilitama tõenduslikul eesmärgil? Või vastavalt õigusnormidele? Mis saab siis, kui samu andmeid on vaja kahes eraldi kontekstis?

Säilitusaeg on üks aspekte, millele CNIL oma kontrollide käigus erilist tähelepanu pöörab, mida tõendab selle arutelu 29. oktoobri otsus RATP-toimikute kohta.

Ettevõttele määrati 400 000 euro suurune trahv eesmärgi, säilitusaja ja andmeturbe põhimõtete rikkumise eest. 

Inimressursside haldamise osana hoidis RATP agentidega seotud andmeid liiga laialdaselt ligipääsetava rakenduse aktiivses andmebaasis ja kauem, kui taotletavate eesmärkide saavutamiseks vajalik oli.  

CNIL märkis ka, et RATP säilitas töötajate hindamisfaile enam kui kolm aastat pärast edutamiskomisjoni kokkutulekut, mille jaoks need loodi, samas kui nende komisjonide kokkutulekust oli vaja neid säilitada vaid 18 kuud.

Teises kontekstis oli CNIL juba terav 2020. aasta novembris Carrefour ettevõtte klientide andmete säilitamise kestus.

Ettevõte peab nelja-aastast säilitusperioodi liiga pikaks ning soovitab säilitada „mitteaktiivsete” klientide (kes pole ettevõttega enam tehinguid teinud) andmeid maksimaalselt kolm aastat (vt seda uudiskirja, detsember 2020).

Säilitusperioodide määramisel juhinduvad andmetöötleja järgmistest sammudest:

• Andmete salvestamine aktiivsesse andmebaasi, millele pääsevad ligi vastava osakonna töötajad, näiteks personaliosakond, seni, kuni andmeid vaja on (näiteks palkade maksmiseks).

• Andmete kustutamine või vahepealne arhiveerimine tõendamise eesmärgil või võimaliku kohtuvaidluse jaoks, piiratud ja turvalisema juurdepääsuga, eriloa alusel

• Kustutamine või jäädav arhiveerimine veelgi piiratumate juurdepääsutingimuste korral.

Igas etapis tuleb teostada sorteerimine ning teatud andmeid võidakse kustutada või anonümiseerida, kui need pole kasulikud või seadusega nõutud.

Kui samu andmeid kasutatakse kahel erineval eesmärgil, tuleb neile kohaldada eraldi säilitusperioodi, mis sõltub nendest vastavatest eesmärkidest, ning asjakohaseid juurdepääsu- ja kustutamisreegleid.

CNIL pakub a praktiline juhend avaldas soovitused 2020. aasta juulis ja loetleb oma viitedokumentides teatud seadusega ette nähtud säilitustähtajad.

Näited hõlmavad järgmist:

Inimressursside kontekstis kandidaatide andmed maksimaalselt kahe aasta kohta, palgalehed vähemalt viie aasta kohta (tööseadustiku artikli L. 3243-4 kohaldamisel).

Ärilises kontekstis arveldusandmed kümne aasta jooksul (äriseadustikus sätestatud kohustus)

Videokaitse kontekstis on kujutisi maksimaalselt ühe kuu jooksul (sisejulgeolekukoodeksi artikkel L. 252-3).

Tuleb lisada, et andmetöötluse range haldamine, ebavajalike andmete kustutamine ja andmetele sisemise juurdepääsu piiramine aitavad kaasa andmebaaside turvamisele.

Need sammud mängivad ennetavat rolli väliste rünnakute ja andmetega seotud rikkumiste ohu korral, mis on tänapäeval märkimisväärsed riskid.

Ja ka

Prantsusmaa:

CNIL avaldas 30. novembril uue arutelu Covid-19 pandeemia vastaste meetmete kohta.

See juhib valitsuse tähelepanu vajadusele koostada enam kui 18 kuud pärast epideemia algust elemendid, mis võimaldaksid täielikult hinnata rakendatud failide ja süsteemide, sealhulgas tervisepassi, vaktsiinide faili ja TousAntiCovid rakenduse tõhusust.

Järelevalveasutus on algatanud kontrollide viienda etapi, mis puudutab eelkõige andmete säilitusaega, kustutamist ja/või anonüümimist.

Euroopa:

Euroopa Liidu järelevalveasutused on algatanud ühine uurimine kasutatud kaupade müügiplatvormi Vinted vastavuse kohta isikuandmete kaitse üldmäärusele.

THE Euroopa andmekaitseinspektor (EDPS) kuulutab välja konverents 16. ja 17. juunil andmekaitse teemal „tõhus kontroll digimaailmas“, tuues kokku esinejad tehisintellekti, konkurentsiõiguse ning digitaalsete turgude ja teenuste teemadel.

See konverents korraldatakse Euroopa tasandil tsentraliseeritud isikuandmete kaitse üldmääruse (GDPR) rakendamise kontrolli vajalikkuse arutelude kontekstis.

Täpsemalt peame silmas arvustused Euroopa Komisjoni asepresidendi Vera Jourova 2. detsembril avaldatud aruanne kontrolli (eba)efektiivsuse kohta sellistes riikides nagu Iirimaa.

21. oktoobril mõistsid seitse ÜRO eriraportööri hukka Suhtlus Euroopa terrorismivastase võitluse poliitika, mis oma liiga ebamääraste meetmetega rikuks Euroopa ja rahvusvahelistes põhiõiguste kaitse dokumentides sätestatud seaduslikkuse, vajalikkuse ja proportsionaalsuse põhimõtteid. 

THE Euroopa Andmekaitsenõukogu (EDPB)) vastu võetud 18. novembril juhised täpsustades rahvusvahelist andmeedastust käsitlevate eeskirjade ulatust.

Muuhulgas tuletab see meelde, et neid eeskirju kohaldatakse vastutavate töötlejate (või alltöövõtjate) vahelise andmeedastuse suhtes, kui eksportija suhtes kohaldatakse isikuandmete kaitse üldmäärust ja ta edastab andmeid kolmandas riigis asuvale importijale või teeb need kättesaadavaks.

Need edastusreeglid ei kehti juhul, kui andmeid edastab Euroopas asuv üksikisik omal algatusel. Dokument on avalikuks konsultatsiooniks avatud jaanuari lõpuni.

Komitee kordas oma muret ka pressiteade Euroopa Komisjoni ettepanekute kohta andmete haldamise, digiteenuste ja digiturgude ning tehisintellekti reguleerimise kohta.

See osutab põhiõiguste ebapiisavale kaitsele ja killustatule järelevalvele ning nõuab tehisintellekti kasutamise keelustamist avalikes kohtades, laste profiilide koostamist ja reklaamide suunamist isikute süstemaatilise jälgimise põhjal.

See kajab kõne uue Saksamaa valitsuskoalitsiooni liikmed 24. novembril biomeetrilise jälgimise keelustamise poolt avalikes kohtades.

Euroopa Komisjon on algatanud rikkumismenetlus Belgia vastu andmekaitseasutuse sõltumatuse puudumise tõttu.

Belgial on reageerimiseks aega kaks kuud või tema vastu esitatakse Euroopa Kohtule hagi.

Euroopa Nõukogu Ministrite Komitee vastu võetud 3. novembril Soovitus üksikisikute kaitse kohta isikuandmete töötlemisel profiilianalüüsi kontekstis.

See uus tekst ajakohastab sama teemat käsitlevat eelmist soovitust CM/Rec(2010)13.

Ettevõte Clearview mis on spetsialiseerunud biomeetriliste andmete kogumisele, on Briti järelevalveasutuse sihikul.  

ICO kaalub ettevõtte trahvimist 17 miljoni naelaga brittidelt andmete kogumise eest ilma nende teadmata.

ICO uurimine lisaks ettevõtte Cignpost Diagnostics tavade kohta, mis kavatseb turustada oma klientidelt COVID-viiruse sõeluuringuteks PCR-testide käigus saadud geneetilist teavet. 

Rahvusvaheline:

THE Araabia Ühendemiraadid vastu võetud 28. novembril föderaalseadus andmekaitse kohta. Andmetöötlejatel on alates seaduse avaldamise kuupäevast ametlikus väljaandes aega 12 kuud, et tagada vastavus nõuetele.

24. novembril võtsid 193 riiki vastu soovitus ÜRO tehisintellekti eetika kohta, mis sätestab sotsiaalse punktisüsteemi keelustamise ja tehisintellekti kasutamise globaalse jälgimise eesmärgil.