Personas datu dzīves cikls

Juridiskā uzraudzība Nr. 41 — 2021. gada novembris

Personas datu dzīves ciklsStarp GDPR noteiktajām saistībām ir viena, kas, neskatoties uz šķietami nekaitīgo raksturu, var ātri pārvērsties par galvassāpēm datu pārzinim: tā ir personas datu glabāšanas periods.

A priori šķiet dabiski datus glabāt tikai tik ilgi, cik nepieciešams izvirzītajiem mērķiem, kā paredzēts VDAR 5.1.e pantā.

Praksē rodas daudzi jautājumi: vai informācija tādā gadījumā ir jādzēš? Vai tā ir jāsaglabā pierādījumu nolūkos? Vai saskaņā ar tiesību aktu noteikumiem? Kas notiek, ja vieni un tie paši dati ir nepieciešami divos atsevišķos kontekstos?

Saglabāšanas periods ir viens no aspektiem, kam CNIL pievērš īpašu uzmanību pārbaužu laikā, ko apliecina tās apspriede 29. oktobra lēmums attiecībā uz RATP failiem.

Uzņēmumam tika piemērots 400 000 eiro naudas sods par mērķa, glabāšanas perioda un datu drošības principu pārkāpšanu. 

Cilvēkresursu pārvaldības ietvaros RATP glabāja datus par aģentiem lietojumprogrammas aktīvajā datubāzē, kas bija pārāk plaši pieejama, un ilgāku laiku nekā nepieciešams īstenojamajiem mērķiem.  

CNIL arī novēroja, ka RATP glabāja darbinieku novērtēšanas lietas vairāk nekā 3 gadus pēc paaugstināšanas komitejas, kurai tās tika izveidotas, lai gan to saglabāšana bija nepieciešama tikai 18 mēnešus pēc šo komiteju sanāksmes.

Citā kontekstā CNIL jau bija smails 2020. gada novembrī Carrefour uzņēmuma klientu datu glabāšanas ilgums.

Tā uzskata, ka četru gadu glabāšanas periods ir pārmērīgs, un iesaka "neaktīvo" klientu (kuri vairs nav veikuši darījumus ar uzņēmumu) datus glabāt ne ilgāk kā trīs gadus (skatīt šo informatīvo biļetenu, 2020. gada decembris).

Datu pārzinim, nosakot saglabāšanas periodus, būs jāveic šādas darbības:

• Datu glabāšana aktīvā datubāzē, kas ir pieejama attiecīgās nodaļas darbiniekiem, piemēram, personāla daļai, tik ilgi, cik dati ir nepieciešami (piemēram, algu izmaksai).

• Datu dzēšana vai pagaidu arhivēšana pierādījumu nolūkos vai iespējamai tiesvedībai, ar ierobežotu un drošāku piekļuvi, saskaņā ar īpašu atļauju

• Dzēšana vai pastāvīga arhivēšana vēl ierobežotākās piekļuves apstākļos.

Katrā posmā ir jāveic šķirošana, un noteikti dati var tikt dzēsti vai anonimizēti, ja tie nav noderīgi vai to pieprasa likums.

Ja vieni un tie paši dati tiek izmantoti diviem dažādiem mērķiem, tiem jāpiemēro atsevišķs glabāšanas periods atkarībā no šiem attiecīgajiem mērķiem, kā arī atbilstoši piekļuves un dzēšanas noteikumi.

CNIL sniedz pakalpojumus praktisks ceļvedis publicēja ieteikumus 2020. gada jūlijā un atsauces dokumentos uzskaitīja konkrētus likumā paredzētus saglabāšanas periodus.

Piemēri ir šādi:

Cilvēkresursu kontekstā kandidātu dati — ne ilgāk kā divus gadus, algas lapiņas — vismaz piecus gadus (saskaņā ar Darba kodeksa L. 3243-4. pantu).

Komerciālā kontekstā rēķinu dati desmit gadu periodā (pienākums noteikts Komerclikumā)

Video aizsardzības kontekstā attēli tiek glabāti ne ilgāk kā vienu mēnesi (Iekšējā drošības kodeksa L. 252-3. pants).

Jāpiebilst, ka stingra datu apstrādes pārvaldība, nevajadzīgu datu dzēšana un piekļuves ierobežošana datiem iekšēji veicina datubāzu drošību.

Šiem pasākumiem būs preventīva loma ārējo uzbrukumu un datu noplūdes riska gadījumā, kas mūsdienās ir būtiski riski.

Un arī

Francija:

CNIL 30. novembrī publicēja jaunu apspriede par pasākumiem Covid-19 pandēmijas apkarošanai.

Tas vērš valdības uzmanību uz nepieciešamību vairāk nekā 18 mēnešus pēc epidēmijas sākuma izstrādāt elementus, kas ļautu pilnībā novērtēt ieviesto failu un sistēmu, tostarp veselības pases, "vakcīnu" faila un lietotnes "TousAntiCovid", efektivitāti.

Uzraudzības iestāde ir uzsākusi piekto kontroles posmu, kas jo īpaši attiecas uz datu glabāšanas periodu, dzēšanu un/vai anonimizāciju.

Eiropa:

Eiropas Savienības uzraudzības iestādes ir uzsākušas kopīga izmeklēšana par lietotu preču tirdzniecības platformas Vinted atbilstību GDPR.

THE Eiropas datu aizsardzības uzraudzītājs (EDAU) paziņo par konference 16. un 17. jūnijā par tēmu “datu aizsardzība: “efektīva kontrole digitālajā pasaulē”, pulcējot runātājus par mākslīgā intelekta, konkurences tiesību un digitālo tirgu un pakalpojumu tēmām.

Šī konference tiek organizēta saistībā ar debatēm par nepieciešamību centralizēt GDPR ieviešanas kontroli Eiropas līmenī.

Precīzāk mēs atsaucamies uz atsauksmes ko 2. decembrī publicēja Eiropas Komisijas viceprezidente Vera Jourova par kontroles (ne)efektivitāti tādās valstīs kā Īrija.

21. oktobrī septiņi ANO īpašie ziņotāji nosodīja Komunikācija Eiropas politika terorisma apkarošanas jomā, kas pārāk neskaidru pasākumu dēļ pārkāptu likumības, nepieciešamības un samērīguma principus, kas noteikti Eiropas un starptautiskajos instrumentos pamattiesību aizsardzībai. 

THE Eiropas Datu aizsardzības kolēģija (EDAK)) pieņemts 18. novembrī vadlīnijas precizējot noteikumu darbības jomu attiecībā uz starptautisko datu pārsūtīšanu.

Cita starpā tā atgādina, ka šie noteikumi attiecas uz datu pārsūtīšanu starp pārziņiem (vai apakšuzņēmējiem), ja eksportētājam ir piemērojama VDAR un viņš nosūta vai padara datus pieejamus importētājam, kas atrodas trešā valstī.

Šie pārsūtīšanas noteikumi neattiecas uz gadījumiem, kad datus pēc savas iniciatīvas pārsūta persona Eiropā. Dokuments ir atvērts sabiedriskai apspriešanai līdz janvāra beigām.

Komiteja arī atkārtoti pauda savas bažas preses relīze attiecībā uz Eiropas Komisijas priekšlikumiem par datu pārvaldību, digitālajiem pakalpojumiem un digitālajiem tirgiem, kā arī par mākslīgā intelekta regulējumu.

Tajā norādīts uz nepietiekamu pamattiesību aizsardzību un sadrumstalotu uzraudzību, kā arī aicināts aizliegt mākslīgā intelekta izmantošanu publiskās vietās, bērnu profilēšanu un reklāmas mērķauditorijas atlasi, kuras pamatā ir sistemātiska personu izsekošana.

Tas atspoguļojas zvans jaunās Vācijas valdības koalīcijas 24. novembrī par biometriskās novērošanas aizliegumu sabiedriskās vietās.

Eiropas Komisija ir uzsākusi pārkāpuma procedūra pret Beļģiju tās datu aizsardzības iestādes neatkarības trūkuma dēļ.

Beļģijai ir divi mēneši laika reaģēt vai arī pret to var tikt celta prasība Eiropas Savienības Tiesā.

Eiropas Padomes Ministru komiteja pieņemts 3. novembrī Ieteikums par fizisku personu aizsardzību attiecībā uz personas datu apstrādi profilēšanas kontekstā.

Ar šo jauno tekstu tiek atjaunināts iepriekšējais ieteikums CM/Rec(2010)13 par to pašu tēmu.

Uzņēmums Clearview kas specializējas biometrisko datu vākšanā, ir Lielbritānijas uzraudzības iestādes redzeslokā.  

ICO apsver iespēju uzņēmumam piespriest 17 miljonu mārciņu sodu par datu vākšanu no britiem bez viņu ziņas.

ICO izmeklēšana turklāt par uzņēmuma Cignpost Diagnostics praksi, kas plāno tirgot ģenētisko informāciju, kas iegūta no saviem klientiem PCR testu laikā COVID-19 skrīningam. 

Starptautiskās:

THE Apvienotie Arābu Emirāti pieņemts 28. novembrī federālais likums par datu aizsardzību. Datu pārziņiem būs 12 mēneši, lai nodrošinātu atbilstību, sākot no likuma publicēšanas dienas oficiālajā vēstnesī.

24. novembrī 193 valstis pieņēma ieteikums ANO par mākslīgā intelekta ētiku, kas paredz sociālās vērtēšanas aizliegumu un mākslīgā intelekta izmantošanu globālas uzraudzības nolūkos.