GDPR: ștergem toate datele atunci când ni se cere? Ce înseamnă ștergerea datelor?
5 minute • Ana-Maria Udriste • 02 iulie 2020
Ce înseamnă ștergerea datelor în contextul GDPR? Ștergem tot?
Cristian Iosub este specialist în securitatea datelor și auditor pentru sistemul de management al securității informației. Scrie despre GDPR și securitate pe blogul său, unde tratează subiectele din viața reală explicate pe înțelesul tuturor.
În episodul acesta am vorbit despre ce înseamnă ștergerea datelor cu caracter personal atunci când primim o cerere din partea persoanelor vizate, cum ar trebui să fie formulată o asemenea cerere, dacă cunoaște limite și mai mult, cum ne asigurăm că nu ștergem date de care mai avem nevoie.
Podcast pe Legale poate fi ascultat pe anchor.fm, apple podcasts, spotify, google podcast, breaker, overcast, pocket casts și radio public. Și pe youtube.
Subiecte discutate:
- ce înseamnă securitate
- ce înseamnă prelucrare
- ce înseamnă o ștergere a datelor personale
- cum se face corect o ștergere a datelor personale
- trebuie să fac dovada că am șters datele?
- cum coroborăm ștergerea datelor cu alte legi speciale
- dacă trec o adresă de e-mail într-un blacklist, înseamnă o ștergere a datelor?
- ștergerea datelor înseamnă click dreapta + delete?
- revocarea consimțământului pentru newsletter înseamnă ștergere?
- ar trebui ca operatorul să aibă o procedură pentru procedura de ștergere?
Abonează-te la newsletter și rămâi informat
Aspecte relevante:
- GDPR & securitatea privesc atât aspectele de prelucrare on-line, cat și off-line
- orice firmă prelucrează la un moment dat niște date personale
- trebuie să fim atenți și la securitate și la GDPR
- ștergerea datelor se referă atât la aspecte din mediul on-line, cât și off-line, dacă mi le stochează cineva ulterior într-un sistem
- există date despre care nici tu nu știi că există pe undeva în mediul online, cum e situația licențelor de taxi, când tu te duci să te licențiezi, procedură care se desfășoară off-line, iar apoi autoritatea publică lista respectivă pe site-ul lor
- de multe ori, tu completezi formulare off-line pe la instituții publice, iar eu ai obligația de a le publica în mediul on-line
- dacă o persoană a completat un formular off-lie, trebuie și acela distrus
- de frica unei amenzi din partea ANSPDPC, operatorul poate șterge eronat anumite date
- ștergerea datelor trebuie coroborată cu politica de ștergere și retenție a datelor, în funcție de specificul firmei și al prelucrării
- în cazul magazinelor online, dacă procedura de ștergere a datelor este manuală, este mai bine pentru operator, că este în control. Dacă folosești un tool automat sau ai implementat o procedură care șterge tot, e posibil să te trezești și cu facturile șterse, de care mai ai nevoie
- în cazul procedurilor automate de ștergere, acestea ar trebui gândite în asemenea fel încât să permită coroborarea cu alte legi incidente
- dezabonarea de la un newseletter nu înseamnă că mi se șterg datele, ci doar că nu mai vreau să mai primesc mesaje comerciale sau cu caracter promoțional
- există mesaje tranzacționale de la care nu te poți abona (spre exemplu când faci o comandă și primești mail de confirmare sau comunicările din parte băncilor, care sunt legate de situația unui contract pe care eu îl am cu bancă și trebuie să le primesc)
- ca operator, ar trebui să scriu în nota de informare ce tipuri de e-mailuri trimit: comerciale, promoționale, tranzacționale
- pentru mesajele de informare nu trebuie obținut consimțământul persoanei, temeiul fiind executarea contractului
Citate:
- ștergerea totală a datelor este imposibilă. mereu va exista o urmă despre persoana respectivă, chiar și când o faci din back-up.
- GDPR solicită ca ștergerea datelor să se facă atât on-line, cât și off-line
- de frica sancționării din partea ANSPDPC, nu ar trebui să cădem în capcana ștergerii tuturor datelor
- Regulamentul trebuie coroborat cu alte legi incidente aplicabile (legea contabilității 82/1991 care spune că ștatele de plată trebuie păstrate 50 ani, datele financiar-contabile care trebuie păstrate timp de 5 ani, codul muncii etc.)
- persoana vizată trebuie să creadă pe cuvânt operatorul că a făcut o ștergere a datelor
- ștergerea datelor în GDPR nu înseamnă doar neutilizarea acestora, ci și la deținerea, vizualizarea și prelucrarea acestora
De ținut minte:
- la nivel de operator trebuie să avem o procedură minimală de informare a persoanelor vizate mai ales când vorbim de cazuri specifice
- ștergerea datelor nu este absolută, trebuie să analizăm de la un caz la altul ce date ștergem și cum o facem, în funcție de temeiul prelucrării, scopul prelucrării și perioada de stocare
- recomandarea noastră: operatorul să aibă o minimă procedură de ștergere a datelor care să fie pusă la dispoziția persoanelor responsabile pentru a ști ce să analizeze în momentul în care se ocupă de cererile persoanelor vizate
Urmărește-ne pe Spotify și Anchor.fm. Lasă-ne un review, steluțe norocoase și spune-ne ce vrei să asculți în următorul episod.