statystyki

Dane z systemów teleinformatycznych po pseudonimizacji nadal podlegają RODO

autor: Łukasz Prasołek06.09.2019, 16:00
Po wejściu w życie RODO i innych wynikających z niego zmian prawnych problemem staje się usuwanie danych z systemów teleinformatycznych. Należy bowiem pamiętać, że brak podstawy prawnej do przetwarzania danych osobowych oznacza nie tylko konieczność usunięcia dokumentów, ale również odpowiednich danych np. w systemie kadrowo-płacowym.

Po wejściu w życie RODO i innych wynikających z niego zmian prawnych problemem staje się usuwanie danych z systemów teleinformatycznych. Należy bowiem pamiętać, że brak podstawy prawnej do przetwarzania danych osobowych oznacza nie tylko konieczność usunięcia dokumentów, ale również odpowiednich danych np. w systemie kadrowo-płacowym.źródło: ShutterStock

Chodzi o takie informacje osobowe, które nie są usunięte nieodwracalnie i można je odzyskać. Do ich przetwarzania trzeba stosować zasady wynikające z unijnego rozporządzenia

Po wejściu w życie RODO i innych wynikających z niego zmian prawnych problemem staje się usuwanie danych z systemów teleinformatycznych. Należy bowiem pamiętać, że brak podstawy prawnej do przetwarzania danych osobowych oznacza nie tylko konieczność usunięcia dokumentów, ale również odpowiednich danych np. w systemie kadrowo-płacowym. W praktyce więc usunięcie teczki akt osobowych, list płac i innych dokumentów dotyczących byłego pracownika po upływie 10 lat liczonych od końca roku kalendarzowego, w którym rozwiązano z nim stosunek pracy, będzie niewystarczające. W takim przypadku usunąć powinno się także dane dotyczące tego pracownika z systemu teleinformatycznego, gdyż w nim jest przecież i umowa o pracę, i świadectwo pracy pracownika oraz wiele innych danych, również dotyczących płac. Co gorsza, wiele danych występuje w zbiorczych zestawieniach i raportach, co oznacza, że ich usunięcie może stanowić negatywne konsekwencje dla pozostałych danych z danego dokumentu czy zestawienia. Stąd dostawcy oprogramowania już się zastanawiają, jak prawidłowo wypełnić obowiązki wynikające z RODO związane z usuwaniem danych osobowych.

Rozwiązaniem tego problemu jest anonimizacja danych, czyli takie działanie, którego skutkiem będzie niemożliwość zidentyfikowania osób, których te dane dotyczą. Zgodnie ze stanowiskiem UODO z 17 lipca 2019 r. trwała anonimizacja danych jest działaniem dopuszczalnym na gruncie RODO. Urząd przestrzega jednak, że czym innym jest pseudonimizacja, którą zgodnie z RODO jest „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Jest to więc sytuacja, w której danych osobowych nie można co prawda połączyć z konkretną osobą, ale przy użyciu dodatkowych informacji byłoby to już możliwe. Pseudonimizacja jest zatem procesem odwracalnym przy użyciu dodatkowych informacji, oddzielnie przechowywanych, a anonimizacja równoważąca zniszczenie danych musi być trwała, czyli nieodwracalna. UODO zwraca uwagę, że dane podlegające pseudonimizacji pozostają nadal danymi osobowymi, do których stosuje się wszystkie reguły wynikające z RODO.


Pozostało 73% tekstu

Prenumerata wydania cyfrowego

Dziennika Gazety Prawnej
9,80 zł
cena za dwa dostępy
na pierwszy miesiąc,
kolejny miesiąc tylko 79 zł
Oferta autoodnawialna
KUPUJĘ

Pojedyncze wydanie cyfrowe

Dziennika Gazety Prawnej
4,92 zł
Płać:
KUPUJĘ
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Polecane