Le cycle de vie des données à caractère personnel

Henkilötietojen elinkaari

Oikeudellinen valvonta nro 41 – Marraskuu 2021

Henkilötietojen elinkaariGDPR:n mukaisten velvoitteiden joukossa on yksi, joka voi nopeasti muuttua rekisterinpitäjän päänsäryksi näennäisen harmittomasta luonteestaan huolimatta: se on henkilötietojen säilytysaika.

Lähtökohtaisesti vaikuttaa luonnolliselta säilyttää tietoja vain niin kauan kuin on tarpeen kyseisten tarkoitusten kannalta, kuten yleisen tietosuoja-asetuksen 5.1.e artiklassa säädetään.

Käytännössä herää monia kysymyksiä: pitäisikö tiedot sitten poistaa? Vai pitäisikö ne säilyttää todistetarkoituksiin? Vai lain säännösten mukaisesti? Entä jos samoja tietoja tarvitaan kahdessa eri yhteydessä?

Säilytysaika on yksi niistä näkökohdista, joihin CNIL kiinnittää erityistä huomiota tarkastuksissaan, kuten sen harkinta 29. lokakuuta, koskien RATP-tiedostoja.

Yritykselle määrättiin 400 000 euron sakko käyttötarkoituksen, säilytysajan ja tietoturvallisuuden periaatteiden rikkomisesta. 

Osana henkilöstöhallintoaan RATP säilytti agentteihin liittyviä tietoja sovelluksen aktiivisessa tietokannassa, johon oli pääsy liian laajalti ja niin kauan kuin oli tarpeen tavoiteltujen tarkoitusten kannalta.  

CNIL totesi myös, että RATP säilytti henkilöstön arviointitiedostoja yli kolme vuotta sen ylennyskomitean jälkeen, jota varten ne perustettiin, kun taas niiden säilyttäminen oli tarpeen vain 18 kuukautta näiden komiteoiden kokoontumisen jälkeen.

Eri yhteydessä CNIL oli jo teräväkärkinen marraskuussa 2020 Carrefour-yhtiön asiakkaidensa tietojen säilytysaika.

Se katsoo, että neljän vuoden säilytysaika on liiallinen, ja suosittelee "ei-aktiivisten" asiakkaiden (jotka eivät ole enää käyneet kauppaa yrityksen kanssa) tietojen säilyttämistä enintään kolmen vuoden ajan (ks. tämä uutiskirje, joulukuu 2020).

Seuraavat vaiheet ohjaavat rekisterinpitäjää säilytysaikojen määrittämisessä:

  • Tietojen tallentaminen aktiiviseen tietokantaan, johon asianomaisen osaston, esimerkiksi henkilöstöhallinnon, henkilöillä on pääsy niin kauan kuin tietoja tarvitaan (esimerkiksi palkkojen maksamista varten)
  • Tietojen poistaminen tai väliaikainen arkistointi todistelutarkoituksiin tai mahdollista oikeudenkäyntiä varten, rajoitetulla ja turvallisemmalla käyttöoikeudella, erityisluvalla
  • Poisto tai pysyvä arkistointi vieläkin rajoitetummin käyttöoikeuksin.

Jokaisessa vaiheessa on suoritettava lajittelu, ja tietyt tiedot voidaan poistaa tai anonymisoida, jos ne eivät ole hyödyllisiä tai lain edellyttämiä.

Kun samoja tietoja käytetään kahteen eri tarkoitukseen, niihin on sovellettava erillistä säilytysaikaa näiden tarkoitusten mukaan sekä asianmukaisia käyttö- ja poistosääntöjä.

CNIL tarjoaa käytännön opas julkaisi suositukset heinäkuussa 2020 ja luettelee viiteasiakirjoissaan tiettyjä laissa säädettyjä säilytysaikoja.

Esimerkkejä ovat:

Henkilöstöhallinnon yhteydessä ehdokastiedot enintään kahdelta vuodelta, palkkalaskelmat vähintään viideltä vuodelta (työlain L. 3243-4 §:n mukaisesti)

Kaupallisessa yhteydessä laskutustiedot kymmenen vuoden ajalta (kauppalaissa säädetty velvoite)

Videosuojauksen yhteydessä kuvat enintään yhden kuukauden ajan (sisäisen turvallisuuslain L. 252-3 artikla).

On lisättävä, että tietojenkäsittelyn tarkka hallinta, tarpeettomien tietojen poistaminen ja sisäisten tietojen saatavuuden rajoittaminen edistävät tietokantojen suojaamista.

Näillä toimilla on ennaltaehkäisevä rooli ulkoisten hyökkäysten ja tietomurtojen riskin edessä, jotka ovat nykyään merkittäviä riskejä.

Ja myös

Ranska:

CNIL julkaisi 30. marraskuuta uuden harkinta Covid-19-pandemian torjuntatoimenpiteistä.

Se kiinnittää hallituksen huomion tarpeeseen, että yli 18 kuukautta epidemian alkamisen jälkeen on laadittava tiedot, joiden avulla voidaan arvioida täysimääräisesti käytössä olevien tiedostojen ja järjestelmien, mukaan lukien terveyspassin, rokotetiedoston ja TousAntiCovid-sovelluksen, tehokkuutta.

Valvontaviranomainen on käynnistänyt viidennen valvontavaiheen, joka koskee erityisesti tietojen säilytysaikaa, poistamista ja/tai anonymisointia.

Eurooppa:

Euroopan unionin valvontaviranomaiset ovat käynnistäneet yhteinen tutkinta käytettyjen tavaroiden myyntialusta Vintedin GDPR:n noudattamisesta.

THE Euroopan tietosuojavaltuutettu (EDPS) ilmoittaa a konferenssi 16. ja 17. kesäkuuta tietosuojasta: ”tehokas valvonta digitaalisessa maailmassa”, joka kokoaa yhteen puhujia tekoälyn, kilpailuoikeuden sekä digitaalisten markkinoiden ja palveluiden teemoista.

Tämä konferenssi järjestetään osana keskusteluja, joissa käsitellään tarvetta keskittää GDPR:n täytäntöönpanon valvonta Euroopan tasolla.

Tarkemmin sanottuna viittaamme ns. arvostelut Euroopan komission varapuheenjohtajan Vera Jourovan 2. joulukuuta antama lausunto valvonnan (epä)tehottomuudesta maissa, kuten Irlanti.

Seitsemän YK:n erityisraportoijaa tuomitsi 21. lokakuuta Viestintä Euroopan terrorismin torjuntapolitiikka, joka liian epämääräisten toimenpiteiden vuoksi rikkoisi eurooppalaisissa ja kansainvälisissä perusoikeuksien suojelua koskevissa välineissä vahvistettuja laillisuus-, tarpeellisuus- ja suhteellisuusperiaatteita. 

THE Euroopan tietosuojaneuvosto (EDPB)) hyväksytty 18. marraskuuta ohjeet kansainvälisiä tiedonsiirtoja koskevien sääntöjen soveltamisalan täsmentäminen.

Se muistuttaa muun muassa, että näitä sääntöjä sovelletaan rekisterinpitäjien (tai alihankkijoiden) välisiin tiedonsiirtoihin, kun viejään sovelletaan yleistä tietosuoja-asetusta ja se siirtää tiedot kolmannessa maassa sijaitsevalle tuojalle tai asettaa tiedot saataville.

Näitä siirtosääntöjä ei sovelleta, kun henkilö siirtää tietoja Euroopassa omasta aloitteestaan. Asiakirja on avoinna julkista kuulemista varten tammikuun loppuun asti.

Komitea toisti myös huolenaiheensa lehdistötiedote koskien Euroopan komission ehdotuksia tiedonhallintasta, digitaalisista palveluista ja digitaalisista markkinoista sekä tekoälyn sääntelystä.

Se viittaa perusoikeuksien riittämättömään suojeluun ja hajanaiseen valvontaan ja vaatii tekoälyn käytön kieltämistä julkisissa tiloissa, lasten profilointia ja yksilöiden järjestelmälliseen seurantaan perustuvaa mainonnan kohdentamista.

Tämä kaikuu puhelu Saksan uusi hallituskoalitio kannatti 24. marraskuuta biometrisen valvonnan kieltoa julkisilla paikoilla.

Euroopan komissio on käynnistänyt rikkomusmenettely Belgiaa vastaan tietosuojaviranomaisen riippumattomuuden vuoksi.

Belgialla on kaksi kuukautta aikaa reagoida tai se joutuu nostamaan kanteen Euroopan unionin tuomioistuimessa.

Euroopan neuvoston ministerikomitea hyväksyttiin 3. marraskuuta Suositus yksilöiden suojelusta henkilötietojen käsittelyssä profiloinnin yhteydessä.

Tämä uusi teksti päivittää aiempaa samaa aihetta koskevaa suositusta CM/Rec(2010)13.

Yritys Clearview biometristen tietojen keräämiseen erikoistunut yritys on Britannian valvontaviranomaisen tähtäimessä.  

ICO harkitsee 17 miljoonan punnan sakkoja yritykselle tietojen keräämisestä briteiltä heidän tietämättään.

ICO tutkinta lisäksi Cignpost Diagnostics -yrityksen käytännöistä, joka aikoo markkinoida asiakkailtaan COVID-viruksen seulontaan tarkoitettujen PCR-testien aikana saatua geneettistä tietoa. 

Kansainvälinen:

THE Yhdistyneet arabiemiirikunnat hyväksyttiin 28. marraskuuta liittovaltion laki Tietosuojasta. Rekisterinpitäjillä on 12 kuukautta aikaa varmistaa lain noudattaminen siitä päivästä, jona laki on julkaistu virallisessa lehdessä.

24. marraskuuta 193 maata hyväksyi suositus YK tekoälyn etiikasta, jossa kielletään sosiaalinen pisteytys ja tekoälyn käyttö globaaliin valvontaan.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI