Životný cyklus osobných údajov

Právne upozornenie č. 41 – November 2021

Životný cyklus osobných údajovMedzi povinnosťami stanovenými v GDPR je jedna, ktorá sa môže pre prevádzkovateľa rýchlo zmeniť na bolesť hlavy, a to aj napriek jej zdanlivo neškodnej povahe: je to doba uchovávania osobných údajov.

A priori sa zdá prirodzené uchovávať údaje len tak dlho, ako je to potrebné na sledované účely, ako je stanovené v článku 5.1.e GDPR.

V praxi vzniká veľa otázok: mali by sa potom informácie vymazať? Alebo by sa mali uchovávať na dôkazné účely? Prípadne v súlade so zákonnými ustanoveniami? Čo ak sú tie isté údaje potrebné v dvoch odlišných kontextoch?

Doba uchovávania je jedným z aspektov, ktorým CNIL venuje osobitnú pozornosť počas svojich kontrol, o čom svedčí jej uvažovanie z 29. októbra týkajúce sa spisov RATP.

Spoločnosť dostala pokutu 400 000 eur za porušenie zásad účelu, doby uchovávania a bezpečnosti údajov. 

V rámci riadenia ľudských zdrojov RATP uchovával údaje týkajúce sa zamestnancov v aktívnej databáze aplikácie, ktorá bola príliš široko dostupná, a to počas obdobia, ktoré presahovalo obdobie potrebné na sledované účely.  

CNIL tiež zistila, že RATP uchovávala súbory hodnotenia zamestnancov viac ako 3 roky po zasadnutí povyšovacej komisie, pre ktorú boli zriadené, pričom ich uchovávanie bolo potrebné iba 18 mesiacov po zasadnutí týchto komisií.

V inom kontexte už CNIL špicatý v novembri 2020 doba uchovávania údajov o zákazníkoch spoločnosťou Carrefour.

Domnieva sa, že lehota uchovávania údajov v trvaní štyroch rokov je nadmerná a odporúča uchovávať údaje „neaktívnych“ zákazníkov (ktorí už so spoločnosťou neobchodujú) maximálne tri roky (pozri tento newsletter, december 2020).

Nasledujúce kroky budú prevádzkovateľovi údajov pri určovaní doby uchovávania údajov slúžiť ako vodítko:

• Uchovávanie údajov v aktívnej databáze, ku ktorej majú prístup ľudia v príslušnom oddelení, napríklad ľudské zdroje, tak dlho, ako sú údaje potrebné (napríklad výplata miezd)

• Vymazanie alebo prechodná archivácia údajov na dôkazné účely alebo pre prípad súdneho sporu s obmedzeným a bezpečnejším prístupom na základe osobitného povolenia

• Vymazanie alebo trvalá archivácia za ešte obmedzenejších podmienok prístupu.

V každej fáze sa musí vykonať triedenie a určité údaje môžu byť vymazané alebo anonymizované, ak nie sú užitočné alebo to vyžaduje zákon.

Ak sa tie isté údaje používajú na dva rôzne účely, musí sa na ne vzťahovať samostatná doba uchovávania v závislosti od týchto príslušných účelov, ako aj vhodné pravidlá prístupu a vymazania.

CNIL poskytuje v praktický sprievodca publikovala odporúčania v júli 2020 a vo svojich referenčných dokumentoch uvádza určité lehoty uchovávania údajov stanovené zákonom.

Medzi príklady patria:

V kontexte ľudských zdrojov, údaje o kandidátoch maximálne dva roky, výplatné pásky minimálne päť rokov (v súlade s článkom L. 3243-4 Zákonníka práce)

V obchodnom kontexte, fakturačné údaje po dobu desiatich rokov (povinnosť stanovená Obchodným zákonníkom)

V rámci video ochrany, snímky na maximálne obdobie jedného mesiaca (článok L. 252-3 zákona o vnútornej bezpečnosti).

Treba dodať, že dôsledné riadenie spracovania údajov, odstraňovanie nepotrebných údajov a obmedzenie prístupu k údajom interne prispievajú k zabezpečeniu databáz.

Tieto kroky budú hrať preventívnu úlohu v prípade vonkajších útokov a rizika úniku údajov, ktoré sú dnes významnými rizikami.

A tiež

Francúzsko:

CNIL 30. novembra zverejnila novú uvažovanie týkajúce sa opatrení na boj proti pandémii Covid-19.

Upozorňuje vládu na potrebu, viac ako 18 mesiacov po začiatku epidémie, vytvoriť prvky umožňujúce úplné posúdenie účinnosti zavedených súborov a systémov vrátane zdravotného preukazu, súboru „vakcín“ a aplikácie „TousAntiCovid“.

Dozorný orgán začal piatu fázu kontrol, ktorá sa týka najmä doby uchovávania, vymazania a/alebo anonymizácie údajov.

Európa:

Orgány dohľadu Európskej únie začali spoločné vyšetrovanie týkajúce sa súladu s GDPR platformou pre predaj použitého tovaru Vinted.

THE Európsky dozorný úradník pre ochranu údajov (EDPS) oznamuje konferencia 16. a 17. júna na tému ochrany údajov: „účinné kontroly v digitálnom svete“, ktorá spojí rečníkov na témy umelej inteligencie, práva hospodárskej súťaže a digitálnych trhov a služieb.

Táto konferencia sa organizuje v kontexte diskusií o potrebe centralizácie kontrol implementácie GDPR na európskej úrovni.

Presnejšie sa odvolávame na recenzie vydané 2. decembra podpredsedníčkou Európskej komisie Věrou Jourovou o (ne)účinnosti kontrol v krajinách ako Írsko.

21. októbra sedem osobitných spravodajcov OSN odsúdilo Komunikácia európska politika boja proti terorizmu, ktorá by prostredníctvom príliš vágnych opatrení porušovala zásady zákonnosti, nevyhnutnosti a proporcionality stanovené v európskych a medzinárodných nástrojoch na ochranu základných práv. 

THE Európsky výbor pre ochranu údajov (EDPB)) prijaté 18. novembra pokyny ktorým sa spresňuje rozsah pôsobnosti pravidiel týkajúcich sa medzinárodného prenosu údajov.

Pripomína okrem iného, že tieto pravidlá sa vzťahujú na prenosy medzi prevádzkovateľmi (alebo subdodávateľmi), keď sa na vývozcu vzťahuje GDPR a prenáša alebo sprístupňuje údaje dovozcovi so sídlom v tretej krajine.

Tieto pravidlá prenosu sa neuplatňujú, ak jednotlivec v Európe prenáša údaje z vlastnej iniciatívy. Dokument je otvorený na verejnú konzultáciu do konca januára.

Výbor tiež zopakoval svoje obavy v tlačová správa týkajúce sa návrhov Európskej komisie o správe údajov, digitálnych službách a digitálnych trhoch, ako aj o regulácii umelej inteligencie.

Poukazuje na nedostatočnú ochranu základných práv a roztrieštený dohľad a vyzýva na zákaz používania umelej inteligencie vo verejných priestoroch, profilovania detí a cielenej reklamy založenej na systematickom sledovaní jednotlivcov.

Toto sa odráža hovor novej nemeckej vládnej koalície 24. novembra za zákaz biometrického sledovania na verejných miestach.

Európska komisia iniciovala konanie o porušení predpisov proti Belgicku pre nedostatočnú nezávislosť jeho orgánu na ochranu údajov.

Belgicko má dva mesiace na to, aby reagovalo, inak bude musieť podať žalobu na Európsky súdny dvor.

Výbor ministrov Rady Európy prijaté 3. novembra Odporúčanie o ochrane fyzických osôb pri spracovaní osobných údajov v súvislosti s profilovaním.

Tento nový text aktualizuje predchádzajúce odporúčanie CM/Rec(2010)13 k rovnakej téme.

Spoločnosť Clearview, špecializujúca sa na zber biometrických údajov, je v hľadáčiku britského dozorného orgánu.  

Úrad pre colnú ochranu (ICO) zvažuje pokutu spoločnosti vo výške 17 miliónov libier za zhromažďovanie údajov od Britov bez ich vedomia.

ICO vyšetrovanie ďalej o praktikách spoločnosti Cignpost Diagnostics, ktorá plánuje predávať genetické informácie získané od svojich zákazníkov počas PCR testov na skríning vírusu COVID. 

Medzinárodné:

THE Spojené arabské emiráty prijaté 28. novembra federálny zákon o ochrane údajov. Prevádzkovatelia údajov budú mať 12 mesiacov na zabezpečenie súladu od dátumu uverejnenia zákona v úradnom vestníku.

24. novembra prijalo 193 krajín odporúčanie OSN o etike umelej inteligencie, ktorá stanovuje zákaz sociálneho bodovania a používania umelej inteligencie na účely globálneho dohľadu.