Le cycle de vie des données à caractère personnel

Životni ciklus osobnih podataka

Pravni nadzor br. 41 – Studeni 2021.

Životni ciklus osobnih podatakaMeđu obvezama predviđenim GDPR-om, postoji jedna koja se brzo može pretvoriti u glavobolju za kontrolora podataka, unatoč svojoj naizgled bezazlenoj prirodi: to je razdoblje čuvanja osobnih podataka.

A priori, čini se prirodnim čuvati podatke samo onoliko dugo koliko je potrebno za željene svrhe, kako je predviđeno u članku 5.1.e GDPR-a.

U praksi se postavljaju mnoga pitanja: treba li podatke tada izbrisati? Ili ih treba čuvati u dokazne svrhe? Ili u skladu sa zakonskim odredbama? Što ako su isti podaci potrebni u dva odvojena konteksta?

Razdoblje čuvanja jedan je od aspekata kojem CNIL posvećuje posebnu pozornost tijekom svojih provjera, što dokazuju njegovi razmatranje od 29. listopada u vezi s RATP datotekama.

Tvrtka je kažnjena s 400.000 eura zbog kršenja načela svrhe, razdoblja čuvanja i sigurnosti podataka. 

Kao dio upravljanja ljudskim resursima, RATP je podatke o agentima čuvao u aktivnoj bazi podataka aplikacije koja je bila previše široko dostupna i to dulje od razdoblja potrebnog za ostvarene svrhe.  

CNIL je također primijetio da RATP čuva dosjee o ocjenjivanju osoblja dulje od 3 godine nakon što su osnovani odbori za napredovanje, dok je njihovo čuvanje bilo potrebno samo 18 mjeseci nakon što su ti odbori održani.

U drugom kontekstu, CNIL je već bio šiljast u studenom 2020. trajanje čuvanja podataka svojih kupaca od strane tvrtke Carrefour.

Smatra da je razdoblje čuvanja od četiri godine pretjerano te preporučuje čuvanje podataka „neaktivnih“ kupaca (koji više ne posluju s tvrtkom) maksimalno tri godine (vidi ovaj bilten, prosinac 2020.).

Sljedeći koraci će voditi kontrolora podataka u određivanju razdoblja čuvanja:

  • Pohrana podataka u aktivnoj bazi podataka, dostupnoj ljudima u relevantnom odjelu, na primjer ljudski resursi, sve dok su podaci potrebni (na primjer, isplata plaća)
  • Brisanje ili međuarhiviranje podataka u dokazne svrhe ili za moguće sudske sporove, s ograničenim i sigurnijim pristupom, uz posebno odobrenje
  • Brisanje ili trajno arhiviranje pod još ograničenijim uvjetima pristupa.

U svakoj fazi mora se provesti sortiranje, a određeni podaci mogu se izbrisati ili anonimizirati ako nisu korisni ili ako to zahtijeva zakon.

Kada se isti podaci koriste u dvije različite svrhe, na njih se mora primijeniti zasebno razdoblje čuvanja ovisno o tim svrhama, kao i odgovarajuća pravila pristupa i brisanja.

CNIL pruža u praktični vodič objavila je preporuke u srpnju 2020. i u svojim referentnim dokumentima navodi određena razdoblja čuvanja podataka predviđena zakonom.

Primjeri uključuju:

U kontekstu ljudskih resursa, podaci o kandidatima za najviše dvije godine, platne liste za najmanje pet godina (u primjeni članka L. 3243-4 Zakona o radu)

U komercijalnom kontekstu, podaci o naplati za razdoblje od deset godina (obveza predviđena Trgovačkim zakonikom)

U kontekstu video zaštite, snimke u maksimalnom trajanju od mjesec dana (članak L. 252-3 Zakona o unutarnjoj sigurnosti).

Treba dodati da rigorozno upravljanje obradom podataka, brisanje nepotrebnih podataka i ograničavanje pristupa podacima interno doprinose osiguranju baza podataka.

Ovi će koraci igrati preventivnu ulogu u suočavanju s vanjskim napadima i rizikom od kršenja podataka, što su danas značajni rizici.

I također

Francuska:

Dana 30. studenog, CNIL je objavio novi razmatranje u vezi s mjerama za suzbijanje pandemije Covid-19.

Skreće pozornost vlade na potrebu, više od 18 mjeseci nakon početka epidemije, da se izrade elementi koji omogućuju potpunu procjenu učinkovitosti implementiranih datoteka i sustava, uključujući zdravstvenu propusnicu, datoteku „cjepiva“ i aplikaciju „TousAntiCovid“.

Nadzorno tijelo pokrenulo je petu fazu kontrola, koja se posebno odnosi na razdoblje čuvanja, brisanje i/ili anonimizaciju podataka.

Europa:

Nadzorna tijela Europske unije pokrenula su zajednička istraga u vezi s usklađenošću s GDPR-om od strane platforme za prodaju rabljene robe Vinted.

THE Europski nadzornik za zaštitu podataka (EDPS) najavljuje konferencija 16. i 17. lipnja na temu zaštite podataka: „učinkovite kontrole u digitalnom svijetu“, okupljajući govornike na teme umjetne inteligencije, prava tržišnog natjecanja te digitalnih tržišta i usluga.

Ova konferencija organizira se u kontekstu rasprava o potrebi centralizacije kontrola provedbe GDPR-a na europskoj razini.

Preciznije se pozivamo na recenzije koju je 2. prosinca izdala potpredsjednica Europske komisije Vera Jourova o (ne)učinkovitosti kontrola u zemljama kao što su Irska.

Dana 21. listopada, sedam posebnih izvjestitelja UN-a osudilo je u Komunikacija europsku politiku borbe protiv terorizma koja bi, putem previše nejasnih mjera, prekršila načela zakonitosti, nužnosti i proporcionalnosti utvrđena u europskim i međunarodnim instrumentima za zaštitu temeljnih prava. 

THE Europski odbor za zaštitu podataka (EDPB)) usvojen 18. studenog smjernice kojim se specificira opseg pravila o međunarodnom prijenosu podataka.

Podsjeća, između ostalog, da se ta pravila primjenjuju na prijenose između kontrolora (ili podizvođača) kada izvoznik podliježe GDPR-u i prenosi ili stavlja podatke na raspolaganje uvozniku koji se nalazi u trećoj zemlji.

Ova pravila prijenosa ne primjenjuju se kada pojedinac u Europi prenosi podatke na vlastitu inicijativu. Dokument je otvoren za javno savjetovanje do kraja siječnja.

Odbor je također ponovio svoju zabrinutost u priopćenje za medije u vezi s prijedlozima Europske komisije o upravljanju podacima, digitalnim uslugama i digitalnim tržištima, kao i o regulaciji umjetne inteligencije.

Ukazuje na nedovoljnu zaštitu temeljnih prava i fragmentiran nadzor te poziva na zabranu korištenja umjetne inteligencije u javnim prostorima, profiliranja djece i ciljanog oglašavanja na temelju sustavnog praćenja pojedinaca.

Ovo odjekuje poziv nove njemačke vladine koalicije 24. studenog za zabranu biometrijskog nadzora na javnim mjestima.

Europska komisija pokrenula je postupak za povredu prava protiv Belgije zbog nedostatka neovisnosti tijela za zaštitu podataka.

Belgija ima dva mjeseca da reagira ili će se suočiti s postupkom pred Europskim sudom pravde.

Odbor ministara Vijeća Europe usvojen 3. studenog Preporuka o zaštiti pojedinaca u vezi s obradom osobnih podataka u kontekstu profiliranja.

Ovaj novi tekst ažurira prethodnu preporuku CM/Rec(2010)13 o istoj temi.

Tvrtka Clearview, specijalizirana za prikupljanje biometrijskih podataka, nalazi se na meti britanskog nadzornog tijela.  

ICO razmatra kažnjavanje tvrtke sa 17 milijuna funti zbog prikupljanja podataka od Britanaca bez njihova znanja.

ICO istraga nadalje o praksama tvrtke Cignpost Diagnostics koja planira prodavati genetske informacije dobivene od svojih kupaca tijekom PCR testova za probir na virus COVID. 

Međunarodno:

THE Ujedinjeni Arapski Emirati usvojeno 28. studenog savezni zakon o zaštiti podataka. Kontrolori podataka imat će 12 mjeseci od datuma objave zakona u službenom listu da osiguraju usklađenost.

Dana 24. studenog 193 zemlje su usvojile preporuka UN o etici umjetne inteligencije, koja predviđa zabranu društvenog bodovanja i korištenja umjetne inteligencije u svrhu globalnog nadzora.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR