Asmens duomenų gyvavimo ciklas

Teisinis stebėjimas Nr. 41 – 2021 m. lapkritis

Asmens duomenų gyvavimo ciklasTarp BDAR numatytų įpareigojimų yra vienas, kuris, nepaisant iš pažiūros nekenksmingo pobūdžio, gali greitai tapti duomenų valdytojo galvos skausmu: tai yra asmens duomenų saugojimo laikotarpis.

A priori atrodo natūralu duomenis saugoti tik tiek laiko, kiek būtina siekiamiems tikslams pasiekti, kaip numatyta BDAR 5.1.e straipsnyje.

Praktiškai kyla daug klausimų: ar tokiu atveju informaciją reikėtų ištrinti? Ar ją reikėtų saugoti įrodymų tikslais? Ar vadovaujantis teisinėmis nuostatomis? O kas, jei tų pačių duomenų reikia dviem skirtingais atvejais?

Saugojimo laikotarpis yra vienas iš aspektų, į kurį CNIL skiria ypatingą dėmesį atlikdama patikrinimus, ką rodo jos svarstymas spalio 29 d. dėl RATP bylų.

Bendrovei buvo skirta 400 000 eurų bauda už tikslo, saugojimo laikotarpio ir duomenų saugumo principų pažeidimą. 

Vadovaudamasi žmogiškųjų išteklių valdymu, RATP saugojo su agentais susijusius duomenis aktyvioje programos duomenų bazėje, kuri buvo pernelyg plačiai prieinama ir ilgiau nei būtina siekiant tikslų.  

CNIL taip pat pastebėjo, kad RATP saugojo darbuotojų vertinimo bylas daugiau nei 3 metus po paaukštinimo komiteto, kuriam jos buvo sudarytos, posėdžių, nors jas reikėjo saugoti tik 18 mėnesių po šių komitetų posėdžių.

Kitaip tariant, CNIL jau buvo smailus 2020 m. lapkritį „Carrefour“ bendrovės klientų duomenų saugojimo trukmė.

Ji mano, kad ketverių metų saugojimo laikotarpis yra per ilgas, ir rekomenduoja „neaktyvių“ klientų (kurie nebevykdo prekybos su bendrove) duomenis saugoti ne ilgiau kaip trejus metus (žr. šį naujienlaiškį, 2020 m. gruodžio mėn.).

Duomenų valdytojas, nustatydamas saugojimo laikotarpius, vadovausis šiais veiksmais:

• Duomenų saugojimas aktyvioje duomenų bazėje, prieinamoje atitinkamo skyriaus, pavyzdžiui, žmogiškųjų išteklių, darbuotojams tol, kol duomenys yra reikalingi (pavyzdžiui, atlyginimų mokėjimui).

• Duomenų ištrynimas arba tarpinis archyvavimas įrodymų tikslais arba galimam bylinėjimuisi, suteikiant ribotą ir saugesnę prieigą, gavus specialų leidimą

• Ištrynimas arba nuolatinis archyvavimas dar labiau ribojant prieigą.

Kiekviename etape turi būti atliekamas rūšiavimas, o tam tikri duomenys gali būti ištrinti arba nuasmeninti, jei jie nėra naudingi arba to nereikalauja įstatymai.

Kai tie patys duomenys naudojami dviem skirtingais tikslais, jiems turi būti taikomas atskiras saugojimo laikotarpis, atsižvelgiant į šiuos atitinkamus tikslus, taip pat atitinkamos prieigos ir ištrynimo taisyklės.

CNIL teikia praktinis vadovas 2020 m. liepos mėn. paskelbė rekomendacijas ir savo informaciniuose dokumentuose išvardija tam tikrus įstatymuose numatytus saugojimo laikotarpius.

Pavyzdžiai:

Žmogiškųjų išteklių srityje kandidatų duomenys saugomi ne ilgiau kaip dvejus metus, atlyginimo lapeliai – ne trumpiau kaip penkerius metus (taikant Darbo kodekso L. 3243-4 straipsnį).

Komerciniu atveju, sąskaitų faktūrų duomenys dešimties metų laikotarpiui (komercinio pobūdžio prievolė numatyta Komerciniame kodekse).

Vaizdo įrašų apsaugos kontekste vaizdai saugomi ne ilgiau kaip vieną mėnesį (vidaus saugumo kodekso L. 252-3 straipsnis).

Reikėtų pridurti, kad griežtas duomenų tvarkymo valdymas, nereikalingų duomenų ištrynimas ir prieigos prie duomenų ribojimas viduje prisideda prie duomenų bazių saugumo.

Šie veiksmai atliks prevencinį vaidmenį susidūrus su išorinėmis atakomis ir duomenų saugumo pažeidimo rizika, kurios šiandien yra didelės rizikos.

Ir taip pat

Prancūzija:

Lapkričio 30 d. CNIL paskelbė naują svarstymas dėl priemonių kovai su Covid-19 pandemija.

Atkreipiamas vyriausybės dėmesys į tai, kad, praėjus daugiau nei 18 mėnesių nuo epidemijos pradžios, reikia parengti elementus, leidžiančius visapusiškai įvertinti įdiegtų bylų ir sistemų, įskaitant sveikatos pasą, „vakcinų“ bylą ir programėlę „TousAntiCovid“, veiksmingumą.

Priežiūros institucija pradėjo penktąjį kontrolės etapą, kuris visų pirma susijęs su duomenų saugojimo laikotarpiu, ištrynimu ir (arba) anonimizavimu.

Europa:

Europos Sąjungos priežiūros institucijos pradėjo bendras tyrimas dėl naudotų prekių pardavimo platformos „Vinted“ atitikties BDAR.

THE Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) skelbia konferencija Birželio 16 ir 17 d. tema „Duomenų apsauga: „veiksminga kontrolė skaitmeniniame pasaulyje“, suburianti pranešėjus dirbtinio intelekto, konkurencijos teisės ir skaitmeninių rinkų bei paslaugų temomis.

Ši konferencija organizuojama vykstant diskusijoms apie poreikį centralizuoti BDAR įgyvendinimo kontrolę Europos lygmeniu.

Tiksliau, mes kalbame apie atsiliepimai gruodžio 2 d. Europos Komisijos pirmininko pavaduotojos Veros Jourovos paskelbta ataskaita apie kontrolės (ne)veiksmingumą tokiose šalyse kaip Airija.

Spalio 21 d. septyni JT specialieji pranešėjai pasmerkė... Bendravimas Europos kovos su terorizmu politika, kuri dėl pernelyg neaiškių priemonių pažeistų teisėtumo, būtinumo ir proporcingumo principus, nustatytus Europos ir tarptautiniuose pagrindinių teisių apsaugos dokumentuose. 

THE Europos duomenų apsaugos valdyba (EDAV)) priimtas lapkričio 18 d. gairės nustatantis tarptautinių duomenų perdavimų taisyklių taikymo sritį.

Be kita ko, primenama, kad šios taisyklės taikomos duomenų perdavimui tarp duomenų valdytojų (arba subrangovų), kai eksportuotojui taikomas BDAR ir jis perduoda duomenis arba suteikia jiems prieigą trečiojoje šalyje esančiam importuotojui.

Šios perdavimo taisyklės netaikomos, kai duomenis Europoje esantis asmuo perduoda savo iniciatyva. Dokumentas viešoms konsultacijoms skirtas iki sausio mėnesio pabaigos.

Komitetas taip pat pakartojo savo susirūpinimą pranešimas spaudai dėl Europos Komisijos pasiūlymų dėl duomenų valdymo, skaitmeninių paslaugų ir skaitmeninių rinkų, taip pat dėl dirbtinio intelekto reguliavimo.

Jame atkreipiamas dėmesys į nepakankamą pagrindinių teisių apsaugą ir suskaidytą priežiūrą, taip pat raginama uždrausti dirbtinio intelekto naudojimą viešosiose erdvėse, vaikų profiliavimą ir tikslinę reklamą, pagrįstą sisteminiu asmenų sekimu.

Tai atkartoja skambutis lapkričio 24 d. naujosios Vokietijos vyriausybės koalicijos nariai pasisakė už biometrinio stebėjimo uždraudimą viešose vietose.

Europos Komisija inicijavo pažeidimo procedūra prieš Belgiją dėl savo duomenų apsaugos institucijos nepriklausomumo stokos.

Belgija turi du mėnesius sureaguoti arba susidurs su ieškiniu Europos Teisingumo Teisme.

Europos Tarybos Ministrų Komitetas priimtas lapkričio 3 d. Rekomendacija dėl asmenų apsaugos tvarkant asmens duomenis profiliavimo kontekste.

Šiuo nauju tekstu atnaujinama ankstesnė rekomendacija CM/Rec(2010)13 tuo pačiu klausimu.

Įmonė „Clearview“ specializuojasi biometrinių duomenų rinkime, yra Britanijos priežiūros institucijos taikiklyje.  

ICO svarsto galimybę skirti bendrovei 17 milijonų svarų sterlingų baudą už duomenų rinkimą iš britų be jų žinios.

ICO tyrimas taip pat dėl bendrovės „Cignpost Diagnostics“, kuri planuoja prekiauti genetine informacija, gauta iš savo klientų atliekant PGR testus, skirtus COVID-19 viruso patikrai, praktikos. 

Tarptautinis:

THE Jungtiniai Arabų Emyratai priimtas lapkričio 28 d. federalinis įstatymas dėl duomenų apsaugos. Duomenų valdytojai turės 12 mėnesių nuo įstatymo paskelbimo Oficialiajame leidinyje datos užtikrinti atitiktį reikalavimams.

Lapkričio 24 d. 193 šalys priėmė rekomendacija JT dėl dirbtinio intelekto etikos, kuriuo draudžiamas socialinis vertinimas ir dirbtinio intelekto naudojimas pasaulinio stebėjimo tikslais.