Le cycle de vie des données à caractère personnel

De levenscyclus van persoonsgegevens

Juridische Watch nr. 41 – November 2021

De levenscyclus van persoonsgegevensOnder de verplichtingen die de AVG biedt, is er één die, ondanks zijn ogenschijnlijk onschuldige aard, snel een hoofdpijn kan worden voor de verwerkingsverantwoordelijke: het is de bewaartermijn van persoonsgegevens.

A priori lijkt het vanzelfsprekend om gegevens alleen te bewaren zolang dat nodig is voor de nagestreefde doeleinden, zoals voorzien in artikel 5.1.e van de AVG.

In de praktijk rijzen er veel vragen: moeten de gegevens dan worden verwijderd? Of moeten ze worden bewaard voor bewijsdoeleinden? Of in overeenstemming met de wettelijke bepalingen? Wat als dezelfde gegevens in twee verschillende contexten nodig zijn?

De bewaartermijn is een van de aspecten waaraan de CNIL bij haar controles bijzondere aandacht besteedt, zoals blijkt uit haar beraadslaging van 29 oktober betreffende RATP-dossiers.

Het bedrijf kreeg een boete van € 400.000,- opgelegd wegens schending van de principes van doel, bewaartermijn en gegevensbeveiliging. 

In het kader van het personeelsbeheer bewaarde de RATP gegevens van agenten in de actieve database van een applicatie die te breed toegankelijk was en gedurende een langere periode dan noodzakelijk was voor de nagestreefde doeleinden.  

De CNIL heeft bovendien geconstateerd dat de RATP de dossiers van de personeelsbeoordelingen langer dan drie jaar bewaarde nadat de bevorderingscommissie waarvoor ze waren ingesteld, was gestart. Dit terwijl ze slechts achttien maanden na de bijeenkomst van deze commissies bewaard hoefden te worden.

In een andere context had de CNIL al puntig in november 2020 de duur van de bewaring van de gegevens van haar klanten door het bedrijf Carrefour.

Zij is van mening dat een bewaartermijn van vier jaar buitensporig is en adviseert om de gegevens van 'inactieve' klanten (die niet langer zakendoen met het bedrijf) maximaal drie jaar te bewaren (zie deze nieuwsbrief, december 2020).

De volgende stappen helpen de gegevensbeheerder bij het bepalen van de bewaartermijnen:

  • Opslag van gegevens in een actieve database, toegankelijk voor mensen in de betreffende afdeling, bijvoorbeeld personeelszaken, zolang de gegevens nodig zijn (bijvoorbeeld voor de betaling van salarissen)
  • Verwijdering of tussentijdse archivering van gegevens voor bewijsdoeleinden of mogelijke rechtszaken, met beperkte en veiligere toegankelijkheid, onder speciale toestemming
  • Verwijderen of permanent archiveren onder nog beperktere toegangsvoorwaarden.

In elke fase moet een sortering plaatsvinden en kunnen bepaalde gegevens worden verwijderd of geanonimiseerd als ze niet nuttig zijn of niet wettelijk verplicht zijn.

Wanneer dezelfde gegevens voor twee verschillende doeleinden worden gebruikt, moeten er voor elke afzonderlijke doelstelling een aparte bewaartermijn en passende toegangs- en verwijderingsregels gelden.

De CNIL voorziet in een praktische gids heeft in juli 2020 aanbevelingen gepubliceerd en in haar referentiedocumenten worden bepaalde door de wet voorgeschreven bewaartermijnen vermeld.

Voorbeelden hiervan zijn:

In het kader van personeelszaken, gegevens van kandidaten maximaal twee jaar, loonstrookjes minimaal vijf jaar (in toepassing van artikel L. 3243-4 van de arbeidswet)

In een commerciële context, factureringsgegevens gedurende een periode van tien jaar (verplichting vastgelegd in het Wetboek van Koophandel)

In het kader van videobeveiliging worden de beelden maximaal één maand bewaard (artikel L. 252-3 van de interne veiligheidscode).

Er moet aan worden toegevoegd dat een strikt beheer van de gegevensverwerking, het verwijderen van onnodige gegevens en het beperken van de interne toegang tot gegevens bijdragen aan de beveiliging van databases.

Deze maatregelen spelen een preventieve rol tegen externe aanvallen en het risico op datalekken, die tegenwoordig aanzienlijke risico's vormen.

En ook

Frankrijk:

Op 30 november publiceerde de CNIL een nieuwe beraadslaging betreffende maatregelen ter bestrijding van de Covid-19-pandemie.

Hiermee wordt de aandacht van de regering gevestigd op de noodzaak om, meer dan 18 maanden na het begin van de epidemie, elementen voor te leggen waarmee een volledige beoordeling kan worden gemaakt van de doeltreffendheid van de geïmplementeerde dossiers en systemen, waaronder de gezondheidspas, het dossier 'vaccins' en de app 'TousAntiCovid'.

De toezichthoudende autoriteit heeft een vijfde fase van controles in gang gezet, die met name betrekking heeft op de bewaartermijn, het wissen en/of anonimiseren van gegevens.

Europa:

De toezichthoudende autoriteiten van de Europese Unie hebben een onderzoek ingesteld gezamenlijk onderzoek met betrekking tot de naleving van de AVG door het tweedehandsverkoopplatform Vinted.

DE Europese Toezichthouder voor gegevensbescherming (EDPS) kondigt een conferentie op 16 en 17 juni met als thema gegevensbescherming: “effectieve controles in de digitale wereld”, waarbij sprekers bijeenkomen over de thema’s kunstmatige intelligentie, mededingingsrecht en digitale markten en diensten.

Deze conferentie wordt georganiseerd in het kader van debatten over de noodzaak om de controle op de uitvoering van de AVG op Europees niveau te centraliseren.

We verwijzen meer specifiek naar de beoordelingen uitgegeven op 2 december door de vicevoorzitter van de Europese Commissie, Vera Jourova, over de (in)effectiviteit van controles in landen zoals Ierland.

Op 21 oktober hebben zeven speciale VN-rapporteurs in een rapport de Mededeling het Europese beleid inzake terrorismebestrijding dat door zijn te vage maatregelen in strijd zou zijn met de beginselen van rechtmatigheid, noodzakelijkheid en evenredigheid die zijn vastgelegd in de Europese en internationale instrumenten ter bescherming van de grondrechten. 

DE Europees Comité voor Gegevensbescherming (EDPB)) aangenomen op 18 november richtlijnen het specificeren van de reikwijdte van de regels betreffende internationale gegevensoverdrachten.

Hierin wordt onder meer in herinnering gebracht dat deze regels van toepassing zijn op doorgiften tussen verwerkingsverantwoordelijken (of onderaannemers) wanneer de exporteur onder de AVG valt en de gegevens doorgeeft aan of toegankelijk maakt voor de importeur die in een derde land is gevestigd.

Deze doorgifteregels zijn niet van toepassing wanneer gegevens op eigen initiatief door een persoon in Europa worden doorgegeven. Het document ligt tot eind januari ter inzage.

Het Comité herhaalde zijn zorgen ook in een persbericht betreffende de voorstellen van de Europese Commissie over data governance, digitale diensten en digitale markten, en over de regulering van kunstmatige intelligentie.

Er wordt gewezen op de onvoldoende bescherming van grondrechten en het versnipperde toezicht. Er wordt opgeroepen tot een verbod op het gebruik van AI in de openbare ruimte, op het profileren van kinderen en op gerichte reclame die gebaseerd is op het systematisch volgen van individuen.

Dit echoot de oproep van de nieuwe Duitse regeringscoalitie op 24 november voor een verbod op biometrische surveillance op openbare plaatsen.

De Europese Commissie heeft een initiatief genomen inbreukprocedure tegen België wegens een gebrek aan onafhankelijkheid van haar autoriteit voor gegevensbescherming.

België heeft twee maanden de tijd om te reageren, anders wordt de zaak voorgelegd aan het Europees Hof van Justitie.

Het Comité van Ministers van de Raad van Europa aangenomen op 3 november Aanbeveling betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens in het kader van profilering.

Deze nieuwe tekst is een actualisering van de eerdere aanbeveling CM/Rec(2010)13 over hetzelfde onderwerp.

Het bedrijf Helder zicht, dat gespecialiseerd is in het verzamelen van biometrische gegevens, in het vizier van de Britse toezichthoudende autoriteit.  

De ICO overweegt het bedrijf een boete van £ 17 miljoen op te leggen voor het verzamelen van gegevens van Britten zonder hun medeweten.

De ICO onderzoek verder over de praktijken van het bedrijf Cignapost Diagnostics, dat van plan is de genetische informatie die van zijn klanten wordt verkregen tijdens PCR-tests voor screening op het COVID-virus, op de markt te brengen. 

Internationaal :

DE Verenigde Arabische Emiraten aangenomen op 28 november federale wetgeving betreffende gegevensbescherming. Verwerkingsverantwoordelijken hebben 12 maanden de tijd om naleving te garanderen vanaf de datum van publicatie van de wet in het officiële publicatieblad.

Op 24 november hebben 193 landen de aanbeveling VN over de ethiek van kunstmatige intelligentie, die voorziet in een verbod op sociale scores en het gebruik van AI voor wereldwijde surveillance.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL