statystyki

Dane z systemów teleinformatycznych po pseudonimizacji nadal podlegają RODO

autor: Łukasz Prasołek06.09.2019, 16:00
Po wejściu w życie RODO i innych wynikających z niego zmian prawnych problemem staje się usuwanie danych z systemów teleinformatycznych. Należy bowiem pamiętać, że brak podstawy prawnej do przetwarzania danych osobowych oznacza nie tylko konieczność usunięcia dokumentów, ale również odpowiednich danych np. w systemie kadrowo-płacowym.

Po wejściu w życie RODO i innych wynikających z niego zmian prawnych problemem staje się usuwanie danych z systemów teleinformatycznych. Należy bowiem pamiętać, że brak podstawy prawnej do przetwarzania danych osobowych oznacza nie tylko konieczność usunięcia dokumentów, ale również odpowiednich danych np. w systemie kadrowo-płacowym.źródło: ShutterStock

Chodzi o takie informacje osobowe, które nie są usunięte nieodwracalnie i można je odzyskać. Do ich przetwarzania trzeba stosować zasady wynikające z unijnego rozporządzenia

Po wejściu w życie RODO i innych wynikających z niego zmian prawnych problemem staje się usuwanie danych z systemów teleinformatycznych. Należy bowiem pamiętać, że brak podstawy prawnej do przetwarzania danych osobowych oznacza nie tylko konieczność usunięcia dokumentów, ale również odpowiednich danych np. w systemie kadrowo-płacowym. W praktyce więc usunięcie teczki akt osobowych, list płac i innych dokumentów dotyczących byłego pracownika po upływie 10 lat liczonych od końca roku kalendarzowego, w którym rozwiązano z nim stosunek pracy, będzie niewystarczające. W takim przypadku usunąć powinno się także dane dotyczące tego pracownika z systemu teleinformatycznego, gdyż w nim jest przecież i umowa o pracę, i świadectwo pracy pracownika oraz wiele innych danych, również dotyczących płac. Co gorsza, wiele danych występuje w zbiorczych zestawieniach i raportach, co oznacza, że ich usunięcie może stanowić negatywne konsekwencje dla pozostałych danych z danego dokumentu czy zestawienia. Stąd dostawcy oprogramowania już się zastanawiają, jak prawidłowo wypełnić obowiązki wynikające z RODO związane z usuwaniem danych osobowych.

Rozwiązaniem tego problemu jest anonimizacja danych, czyli takie działanie, którego skutkiem będzie niemożliwość zidentyfikowania osób, których te dane dotyczą. Zgodnie ze stanowiskiem UODO z 17 lipca 2019 r. trwała anonimizacja danych jest działaniem dopuszczalnym na gruncie RODO. Urząd przestrzega jednak, że czym innym jest pseudonimizacja, którą zgodnie z RODO jest „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Jest to więc sytuacja, w której danych osobowych nie można co prawda połączyć z konkretną osobą, ale przy użyciu dodatkowych informacji byłoby to już możliwe. Pseudonimizacja jest zatem procesem odwracalnym przy użyciu dodatkowych informacji, oddzielnie przechowywanych, a anonimizacja równoważąca zniszczenie danych musi być trwała, czyli nieodwracalna. UODO zwraca uwagę, że dane podlegające pseudonimizacji pozostają nadal danymi osobowymi, do których stosuje się wszystkie reguły wynikające z RODO.


Pozostało jeszcze 73% treści

Czytaj wszystkie artykuły na gazetaprawna.pl oraz w e-wydaniu DGP
Zapłać 97,90 zł Kup abonamentna miesiąc
Mam kod promocyjny
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Polecane