GoldenLine
Zaloguj się
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Pracujemy na rynku agancji pracy. Mam zbiór kandydatów, w którym możliwe jest skorzystanie z prawa do usunięcia danych.

Sytuacja nr 1 - Załóżmy, że podmiot danych z tego prawa skorzystał.

Jak to pogodzić z prawem do żądania informacji o przetwarzaniu z Art . 15.

Ja wychodzę z założenia, że jak usuwamy to usuwamy. Więc trzymanie historii "rekordu" informacji o udostępnieniach itp. jest błędne.

Co jednak z rozliczalnością? Jak wykazać, że przetwarzanie było zgodne z prawem przed usunięciem danych? Jak to robicie?

Sytuacja nr 2 - załóżmy, że podmiot, zgodnie z planem retencji albo w oparciu o swoją decyzję (ustanie celu, nieaktualność informacji) usuwa dane. Co w takiej sytuacji, gdy podmiot danych zwróci się z prośbą o realizację prawa do bycia informowanym?

W szczególności chodzi mi o aspekt informacji o udostępnieniach.

W samym przepisach (Artykułach) RODO ten aspekt nie jest poruszany. W motywach potwierdzeniem mojej praktyki jest motyw 64. 



Motyw 64 RODO

Administrator powinien skorzystać z wszelkich rozsądnych środków w celu zweryfikowania tożsamości żądającej dostępu osoby, której dane dotyczą, w szczególności w kontekście usług internetowych i identyfikatorów internetowych. Administrator nie powinien zatrzymywać danych osobowych wyłącznie w celu reagowania na ewentualne żądania.


Co wy na to, czy dla danych dotyczących przetwarzania ustawiacie osobny okres retencji?
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Odniosę się do sytuacji nr 2.
Jeśli prawa do bycia zapomnianym zażąda osoba, której danych nie przetwarzamy to po prostu poinformowałabym ją, że nie mamy jej danych i tyle.
Chyba, że źle Cię zrozumiałam i jest tu jakieś drugie dno.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Jan S.:
Sytuacja nr 1 - Załóżmy, że podmiot danych z tego prawa skorzystał.
Jak to pogodzić z prawem do żądania informacji o przetwarzaniu z Art . 15.
Warto czytać pełny przepis. Zgodnie z nim osoba ma prawo do informacji - czy są przetwarzane jej d.o. W opisywanej sytuacji nie są (żądanie bycia zapomnianym).

Ja wychodzę z założenia, że jak usuwamy to usuwamy. Więc trzymanie historii "rekordu" informacji o udostępnieniach itp. jest błędne.

Co jednak z rozliczalnością? Jak wykazać, że przetwarzanie było zgodne z prawem przed usunięciem danych? Jak to robicie?
Rozliczać można z czegoś zaistniałego - z przetwarzania (tu trzeba wykazać wiele aspektów) lub nie przetwarzania - tu wystarcza oświadczenie. Żądanie bycia zapomnianym jest żądaniem definitywnym - Organizacja ma usunąć wszelkie informacje (w tym o sposobie, celach, podstawie przetwarzania). Ktokolwiek chciałby skontrolować rozliczalność musi zmierzyć się z wolą właściciela d.o. do bycia zapomnianym. Podobnie jest gdy d.o. osobowe zostaną usunięte po okresie przechowywania (np. faktura VAT, po 5 latach). Po tym czasie nikt nie może postawić zarzutu nielegalnego działania gdyż dokumentacja o tym świadcząca uległa legalnemu brakowaniu.
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Dzięki.

W przypadku żądania usunięcia sprawa wydaje się dość prosta.

Chciałbym się właśnie skupić na sytuacji numer 2.

Sytuacja wygląda tak, że agencje pracy przetwarzają dane kandydatów. Dane kandydata są często w trakcie kilkuletniej pracy udostępniane wielu pracodawcom lub innym agencjom, które te osoby będą czasem zatrudniać, a czasem spomiędzy kilku kandydatur zatrudnią tylko 1 osobę.

Ja jako administrator gromadzę sobie historię kandydata, dopóki nim jest.

W pewnym momencie (np. po 1 rok od ostatniej rekrutacji) uznaję - ten kandydat już nie jest mi potrzebny i usuwam jego dane. W tym historię jego udostępnień, wnoszonych sprzeciwów, wyrażanych i cofanych zgód.

Po miesiącu dostaję od niego zapytanie o przetwarzanie jego danych. Usunięcie tej historii powoduje, że nie będę mógł zrealizować tych uprawnień. Co zgodnie z zasadą ograniczenia przechowywania jest słuszne. Nie mam, nie przetwarzam.

Mam jednak wrażenie, że takie postępowanie może naruszać jego możliwości do korzystania z prawa wiedzy i kontroli nad przetwarzaniem jego danych.

Praktyka UODO była taka: gromadz dane o tym komu, kiedy i jakie dane udostępniłeś. Literalne odczytanie Art 15. mówi, że faktycznie mam poinformować jeśli przetwarzam. Jeśli zaprzestałem, to cała moja poprzednia działalność może pozostać "niejawna" dla osoby.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

A że ten tego... pracodawcy czy agencje to żadnych obowiązków nie mają?
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

A że ten tego jakich masz na myśli?
Link do wypowiedziLink
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Jan S.:

Mam jednak wrażenie, że takie postępowanie może naruszać jego możliwości do korzystania z prawa wiedzy i kontroli nad przetwarzaniem jego danych.
Nadgorliwość jest gorsza od faszyzmu. :)
Jak możesz naruszać możliwości do korzystania z prawa wiedzy i kontroli nad przetwarzaniem danych osoby, której danych nie przetwarzasz?
Idąc tym tokiem myślenia to ja też mogę się do Ciebie zgłosić, stwierdzić, że byłam kiedyś twoją klientką i zażądać informacji o tym jakie moje dane przetwarzasz. A kiedy mi nie odpowiesz to tanecznym krokiem udać się w kierunku PUODO (boli mnie ten nowy skrót...)

Czujesz, że to się nie klei?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Jan S.:
Sytuacja wygląda tak, że agencje pracy przetwarzają dane kandydatów. Dane kandydata są często w trakcie kilkuletniej pracy udostępniane wielu pracodawcom lub innym agencjom, które te osoby będą czasem zatrudniać, a czasem spomiędzy kilku kandydatur zatrudnią tylko 1 osobę.
Dla pewności - agencja przetwarza dane kandydatów, zatrudniają (bądź nie) firmy otrzymujące owe dane?

Ja jako administrator gromadzę sobie historię kandydata, dopóki nim jest.

W pewnym momencie (np. po 1 rok od ostatniej rekrutacji) uznaję - ten kandydat już nie jest mi potrzebny i usuwam jego dane. W tym historię jego udostępnień, wnoszonych sprzeciwów, wyrażanych i cofanych zgód.
Od tego jest zapis w rodo, byś podczas zbierania d.o. informował o czasie przetwarzania. Usuwasz d.o. po zadeklarowanym okresie, nie wcześniej. Jeśli podasz, że 3 lata, a po roku go wykreślisz, to masz kłopoty.
Jeśli zaprzestałem, to cała moja poprzednia działalność może pozostać "niejawna" dla osoby.
Jeśli zaprzestałeś zgodnie z prawem i przyjętymi na siebie zobowiązaniami, to tak.
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Ok, dzięki za wasze opinie.

To jest tak, że przez lata wychowywaliśmy klientów do gromadzenia danych o ich aktywnościach
i udostępnieniach. (temat retencji nie nabrzmiał tak bardzo jeszcze wtedy).

Teraz jak im mówimy USUWAMY - to mówią - no jak to ?!

Dodam, że rynek zatrudnienia to obszar z dużą ilością żądań i sytuacji trudnych.

Ad Paulina - ja od zawsze wkładałem klientom do głów zasadę - usuwaj gdy nie używasz, ale czasem i ja mam wątpliwości, bo w wielu Art RODO podkreślona jest zasada - że działanie nie może ograniczać innych praw ani wolności.

Ad Radosław - jak dla mnie informacja o okresie retencji ma przede wszystkie znaczenie w kontekście kiedy przestanę wykorzystywać dane tej osoby. Usunięcie wcześniej - łącznie z brakiem ustania celu przetwarzania - raczej nie może mi zaszkodzić. Ty widzę proponujesz inną optykę - informacja o okresie przetwarzania jako domyślny czas możliwości skorzystania ze swoich praw? Dobrze rozumiem ?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Jan S.:
Ad Radosław - jak dla mnie informacja o okresie retencji ma przede wszystkie znaczenie w kontekście kiedy przestanę wykorzystywać dane tej osoby. Usunięcie wcześniej - łącznie z brakiem ustania celu przetwarzania - raczej nie może mi zaszkodzić. Ty widzę proponujesz inną optykę - informacja o okresie przetwarzania jako domyślny czas możliwości skorzystania ze swoich praw? Dobrze rozumiem ?
Bardzo dobrze, choć to jeden z powodów. Innym są przepisy prawa. One stanowią o minimalnym okresie przechowywania. Niektórych danych, pomimo chęci, usunąć nie masz prawa (np. informacja, że Bolesław Chrobry /przerysowane/ był klientem agencji).
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Jan S.:
Ja wychodzę z założenia, że jak usuwamy to usuwamy. Więc trzymanie historii "rekordu" informacji o udostępnieniach itp. jest błędne.
Wg mnie jest cel przetwarzania metadanych do końca okresu przedawnienia ew. roszczeń cywilnoprawnych z tytułu bezprawnego udostępnienia danych.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Jan S.:
A że ten tego jakich masz na myśli?

No np. dostali dane... i je mają. Bo chyba mają?
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Paweł G.:

Wg mnie jest cel przetwarzania metadanych do końca okresu przedawnienia ew. roszczeń cywilnoprawnych z tytułu bezprawnego udostępnienia danych.

Jaki jest okres przedawnienia roszczeń cywilnych z tytułu nieuszanowania RODO ?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Nie zastanawiałem się jeszcze. Zarobiony jestem ;)
Link do wypowiedziLink
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Radosław Z.:
Bardzo dobrze, choć to jeden z powodów. Innym są przepisy prawa. One stanowią o minimalnym okresie przechowywania. Niektórych danych, pomimo chęci, usunąć nie masz prawa (np. informacja, że Bolesław Chrobry /przerysowane/ był klientem agencji).

Dlaczego nie mogę usunąć po np. 6 latach (księgowe 5 lat + rok biezący) danych klienta, który kupił coś raz, a teraz o nim zapominam. Tak właśnie wyobrażam sobie retencję.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Jan S.:
zapominam. Tak właśnie wyobrażam sobie retencję.
Dobrze sobie wyobrażasz. Nie tylko możesz, ale musisz usunąć.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Jan S.:

Dlaczego nie mogę usunąć po np. 6 latach (księgowe 5 lat + rok biezący) danych klienta, który kupił coś raz, a teraz o nim zapominam. Tak właśnie wyobrażam sobie retencję.
Rzeczony Bolesław Chrobry nie byłby zwykłym klientem. Informacja, że coś u Ciebie kupił byłaby z pewnością cennym źródłem informacji o wartości historycznej o działalności Państwa Polskiego, jego poszczególnych organów (art.1 ustawy o narodowym zasobie archiwalnym) i podlegałaby tej ustawie.

A wracając do podawania okresu brakowania danych. Osoba ma prawo do przeniesienia danych. Jeśli podałeś okres przechowywania, to również określiłeś granice wnoszenia o przeniesienie danych (ale to już rozważania czysto akademickie).
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: żądanie usunięcia danych lub usunięcie danych decyzją ADO...

Jan S.:

Dlaczego nie mogę usunąć po np. 6 latach (księgowe 5 lat + rok biezący) danych klienta, który kupił coś raz, a teraz o nim zapominam. Tak właśnie wyobrażam sobie retencję.

Możesz, ale pozbędziesz się ewentualnych dowodów w przypadku pozwu niezadowolonego klienta. Przedawnienie tego typu roszczeń to nadal 10 lat, więc IMHO w wielkim skrócie to jest okres, w którym jest uzasadnienie do trzymania informacji o transakcji.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj