Usuwanie danych osobowych z kopii zapasowych

Data: 28-10-2013 r.

Usuwanie danych osobowych z kopii zapasowych należy rozpatrywać w odniesieniu do konkretnego przypadku. Generalnie administratora danych obowiązuje zasada celowości, co znaczy, że można zbierać dane dla oznaczonych, zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami.

Przy danych osobowych stosuje się zasadę ograniczenia czasowego – można przechowywać dane w postaci umożliwiającej identyfikację osób nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Co mówi ustawa o ochronie danych osobowych

Te zasady wynikają z ustawy o ochronie danych osobowych, która zawiera jedynie ogólne zasady przetwarzania danych osobowych, ich skonkretyzowanie zaś znajduje się w szczególnych wobec ustawy przepisach prawa, znajdujących się w innych ustawach branżowych i aktach wykonawczych do nich. Biorąc na przykład przepisy dotyczące dokumentacji medycznej, oświaty, ubezpieczeń społecznych czy archiwizacji, to dane trzeba przechowywać przez 20, 30, 50 lat, a niektóre wieczyście. Inaczej więc potraktowane będą dane pacjenta, który umarł na chorobę zakaźną, inaczej dane byłego pracownika, a jeszcze inaczej dane niedoszłego lub byłego klienta banku. W tym ostatnim przypadku porównaj wyrok WSA (II SA/Wa 1801/07).

Przechodywanie danych osobowych pracowników

Przykładowo, dokumentację osobową pracownika należy przechowywać przez cały okres zatrudnienia oraz przez 50 lat od dnia zakończenia pracy. Natomiast dane potencjalnego klienta, z którym nie doszło do zawarcia umowy i jeśli nie została wyrażona przez niego zgoda na dalsze przetwarzanie do innych oznaczonych celów, należy usunąć. Warto więc zadbać o zgodę na cele marketingowe, statystyczne, archiwalne oraz anonimizować te dane, których posiadanie nie jest już zasadne.

Przetwarzanie danych osobowych zgodne z prawem


Chcąc przetwarzać dane osobowe zgodnie ze wspomnianymi zasadami, należy wyposażyć system informatyczny w możliwość pseudonimizacji danych. W myśl rozporządzenia o ochronie danych wydanego przez Parlament Europejski i Radę, pseudonimizowanie jest definiowane jako „(…) środek techniczny polegający na oddzieleniu substratu osobowego od pozostałych danych w taki sposób, że niemożliwe jest przypisane tego zestawu danych konkretnej osobie bez wykorzystania dodatkowej informacji, która jest oddzielnie przechowywana. Zastosowanie pseudonimizacji może być użyteczne zarówno z punktu widzenia zwiększenia bezpieczeństwa praw podmiotów danych (jest ona niejako dodatkowym środkiem technicznym zabezpieczającym dane), jak i zapewnienia elastyczności z punktu widzenia obowiązków nałożonych na administratorów danych, którzy dzięki zastosowaniu pseudonimizacji mogliby uzyskiwać dodatkowe korzyści i zwolnienie z niektórych obowiązków…”.

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 34308 )
Array ( [docId] => 34308 )

Array ( [docId] => 34308 )