Le cycle de vie des données à caractère personnel

Življenjski cikel osebnih podatkov

Pravna ura št. 41 – November 2021

Življenjski cikel osebnih podatkovMed obveznostmi, ki jih določa GDPR, je ena, ki se lahko kljub svoji navidezno neškodljivi naravi hitro spremeni v glavobol za upravljavca podatkov: to je obdobje hrambe osebnih podatkov.

A priori se zdi naravno, da se podatki hranijo le toliko časa, kolikor je potrebno za zastavljene namene, kot je določeno v členu 5.1.e GDPR.

V praksi se pojavlja veliko vprašanj: ali je treba podatke nato izbrisati? Ali pa jih je treba hraniti za dokazne namene? Ali v skladu z zakonskimi določbami? Kaj pa, če so isti podatki potrebni v dveh ločenih kontekstih?

Obdobje hrambe je eden od vidikov, ki jim CNIL posveča posebno pozornost med svojimi pregledi, kar dokazuje tudi njeno premislek z dne 29. oktobra glede datotek RATP.

Podjetje je bilo kaznovano s 400.000 evri zaradi kršitve načel namena, obdobja hrambe in varnosti podatkov. 

RATP je v okviru upravljanja s človeškimi viri hranil podatke o uslužbencih v aktivni podatkovni zbirki aplikacije, ki je bila preširoko dostopna, in to dlje, kot je bilo potrebno za zastavljene namene.  

CNIL je tudi ugotovil, da je RATP hranil datoteke o ocenjevanju zaposlenih več kot 3 leta po seji odbora za napredovanje, za katerega so bile ustanovljene, medtem ko je bilo njihovo hrambo potrebno le 18 mesecev po seji teh odborov.

V drugačnem kontekstu je CNIL že koničast novembra 2020 trajanje hrambe podatkov svojih strank s strani podjetja Carrefour.

Meni, da je obdobje hrambe štirih let pretirano in priporoča, da se podatki "neaktivnih" strank (ki s podjetjem ne poslujejo več) hranijo največ tri leta (glej to glasilo, december 2020).

Naslednji koraki bodo upravljavca podatkov vodili pri določanju obdobij hrambe:

  • Shranjevanje podatkov v aktivni bazi podatkov, do katere imajo dostop zaposleni v ustreznem oddelku, na primer v kadrovski službi, dokler so podatki potrebni (na primer izplačilo plač).
  • Izbris ali vmesno arhiviranje podatkov za dokazne namene ali morebitne sodbe, z omejenim in varnejšim dostopom, na podlagi posebnega dovoljenja
  • Izbris ali trajno arhiviranje pod še bolj omejenimi pogoji dostopa.

Na vsaki stopnji je treba izvesti razvrščanje in določene podatke je mogoče izbrisati ali anonimizirati, če niso uporabni ali če to zahteva zakonodaja.

Kadar se isti podatki uporabljajo za dva različna namena, je treba zanje uporabiti ločeno obdobje hrambe, odvisno od teh namenov, ter ustrezna pravila dostopa in brisanja.

CNIL zagotavlja v praktični vodnik je julija 2020 objavil priporočila in v svojih referenčnih dokumentih navaja nekatera obdobja hrambe, ki jih določa zakon.

Primeri vključujejo:

V okviru kadrovskih služb, podatki o kandidatih za največ dve leti, plačilne liste za najmanj pet let (v skladu s členom L. 3243-4 delovnega zakonika)

V komercialnem kontekstu, podatki o obračunavanju za obdobje desetih let (obveznost, določena v trgovinskem zakoniku)

V okviru video zaščite so slike shranjene največ en mesec (člen L. 252-3 zakonika o notranji varnosti).

Dodati je treba, da strogo upravljanje obdelave podatkov, brisanje nepotrebnih podatkov in omejevanje dostopa do podatkov interno prispevajo k zavarovanju podatkovnih baz.

Ti koraki bodo imeli preventivno vlogo pred zunanjimi napadi in tveganjem kršitev podatkov, ki so danes pomembna tveganja.

In tudi

Francija:

CNIL je 30. novembra objavil novo premislek glede ukrepov za boj proti pandemiji Covid-19.

Vlado opozarja na potrebo, da se več kot 18 mesecev po začetku epidemije pripravijo elementi, ki omogočajo celovito oceno učinkovitosti uvedenih datotek in sistemov, vključno z zdravstveno izkaznico, datoteko o „cepivih“ in aplikacijo „TousAntiCovid“.

Nadzorni organ je začel peto fazo nadzora, ki se nanaša predvsem na obdobje hrambe, izbris in/ali anonimizacijo podatkov.

Evropa:

Nadzorni organi Evropske unije so sprožili skupna preiskava glede skladnosti platforme za prodajo rabljenih izdelkov Vinted z GDPR.

TA Evropski nadzornik za varstvo podatkov (EDPS) napoveduje konferenca 16. in 17. junija na temo varstva podatkov: »učinkovit nadzor v digitalnem svetu«, ki bo združila govornike na teme umetne inteligence, konkurenčnega prava ter digitalnih trgov in storitev.

Ta konferenca je organizirana v okviru razprav o potrebi po centralizaciji nadzora nad izvajanjem GDPR na evropski ravni.

Natančneje se sklicujemo na ocene ki ga je 2. decembra izdala podpredsednica Evropske komisije Vera Jourova o (ne)učinkovitosti nadzora v državah, kot je Irska.

21. oktobra je sedem posebnih poročevalcev ZN v poročilu obsodilo Komunikacija evropska politika boja proti terorizmu, ki bi s preveč nejasnimi ukrepi kršila načela zakonitosti, nujnosti in sorazmernosti, določena v evropskih in mednarodnih instrumentih za varstvo temeljnih pravic. 

TA Evropski odbor za varstvo podatkov (EDPB)) sprejeto 18. novembra smernice ki določa področje uporabe pravil o mednarodnem prenosu podatkov.

Med drugim opozarja, da se ta pravila uporabljajo za prenose med upravljavci (ali podizvajalci), kadar za izvoznika velja GDPR in podatke posreduje ali omogoča dostop do njih uvozniku s sedežem v tretji državi.

Ta pravila o prenosu ne veljajo, kadar posameznik v Evropi podatke posreduje na lastno pobudo. Dokument je na voljo za javno posvetovanje do konca januarja.

Odbor je svoje pomisleke ponovil tudi v sporočilo za javnost glede predlogov Evropske komisije o upravljanju podatkov, digitalnih storitvah in digitalnih trgih ter o regulaciji umetne inteligence.

Opozarja na nezadostno zaščito temeljnih pravic in razdrobljen nadzor ter poziva k prepovedi uporabe umetne inteligence v javnih prostorih, profiliranja otrok in ciljanja oglaševanja na podlagi sistematičnega sledenja posameznikov.

To odmeva klic nove nemške vladne koalicije 24. novembra za prepoved biometričnega nadzora na javnih mestih.

Evropska komisija je začela postopek za kršitve proti Belgiji zaradi pomanjkanja neodvisnosti njegovega organa za varstvo podatkov.

Belgija ima dva meseca časa za odziv, sicer se bo soočila s tožbo na Evropskem sodišču.

Odbor ministrov Sveta Evrope sprejeto 3. novembra Priporočilo o varstvu posameznikov pri obdelavi osebnih podatkov v okviru profiliranja.

To novo besedilo posodablja prejšnje priporočilo CM/Rec(2010)13 o isti temi.

Podjetje Clearview, specializirano za zbiranje biometričnih podatkov, je na meji britanskega nadzornega organa.  

ICO razmišlja o tem, da bi podjetju naložil 17 milijonov funtov globe zaradi zbiranja podatkov Britancev brez njihove vednosti.

ICO preiskava nadalje o praksah podjetja Cignpost Diagnostics, ki namerava tržiti genetske informacije, pridobljene od svojih strank med PCR testi za presejanje virusa COVID. 

Mednarodno:

TA Združeni arabski emirati sprejeto 28. novembra zvezni zakon o varstvu podatkov. Upravljavci podatkov bodo imeli 12 mesecev od datuma objave zakona v uradnem listu, da zagotovijo skladnost.

24. novembra je 193 držav sprejelo priporočilo ZN o etiki umetne inteligence, ki določa prepoved socialnega točkovanja in uporabe umetne inteligence za namene globalnega nadzora.

Odkrijte Viqtor®
sl_SISL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL