Egyszer s mindenkorra?

A GDPR (Adatvédelmi Rendelet) alkalmazásaira vonatkozó sorozatunkat egy példával folytatjuk. Részletesen elemezzük, mit kell tennie egy adatfeldolgozónak, ha az adatok tárolására való jóváhagyása lejárt.

1. A személyes adatokat tehát addig szabad egy intézménynek, cégnek tárolni, amíg feldolgozzák őket. Törölni kell azokat, amikor:

– már nem szükségesek a begyűjtésükkor megjelölt célokhoz, vagy a tárolás határideje lejárt;

– az a személy, aki adatait az operátor rendelkezésére bocsátotta, visszavonja azok feldolgozásának jóváhagyását, és nincs más törvényes alap azok tárolásához;

– az adatok feldolgozása törvénytelenül történt.

2. Az adatok jobb kezelése érdekében azok begyűjtésekor, vagy a feldolgozójukhoz való továbbításkor meg kell határoznunk azok tárolásának időtartamát is, amelyet fel is tüntetünk az adatbázisban. Ha nem közvetlenül az érintett személytől származnak az adatok, akkor a célt is azonosítsuk, amely érdekében kértük azokat. Mindezeket úgy kell feltüntetni az (online vagy papír) adatbázisban, hogy könnyen el lehessen dönteni (az adatok megnyitása nélkül is), törölni kell-e őket vagy sem. Ha lehetséges, a határidő lejártának közeledtével jó, ha figyelmeztetnek is erre (a program vagy az illetékes személy).
3. Az engedélyezett adatfeldolgozók legkésőbb hathavonta kell ellenőrizzék az adattárolás jogszerűségét, de törlés előtt azt is meg kell vizsgálniuk, nem rendelkezik-e valamilyen más előírás arról, hogy mennyi ideig kell az archívumban megőrizni ezeket (esetenként ez egész hosszú időszak is lehet – ebben az esetben tiltani vagy korlátozni kell az adatokhoz való hozzáférést).
4. A személyes adatokhoz való hozzáférést csak a megfelelő személy végezheti úgy, hogy ne legyen helyreállítható az eredeti dokumentum/adathordozó.
5. Ez a személy lehet az adatfeldolgozók egyike vagy másvalaki, akinek ez szerepel a munkaköri leírásában vagy szolgáltatói szerződésében.
6. Amennyiben az adatokat papíron tárolják, a megsemmisítő helyiségbe kell vinni azokat, ahova csak a kijelölt személyeknek lehet bejárása.

A papíron tárolt adatok megsemmisítése

1. Az iratmegsemmisítőt külön helyiségben kell tárolni, ahová csak bizonyos személyek juthatnak be.
2. Az iratokat oly módon kell megsemmisíteni, hogy azok helyreállítása lehetetlen legyen.
3. Ha e művelet közben az illető személynek el kell hagyni a helyiséget, azt be kell bezárni erre az időre, hogy más ne hatolhasson be.
4. A személyes adatokat tartalmazó dokumentumokat soha nem szabad szeméttárolóba dobni.
5. Az iratmegsemmisítésből származó hulladékot erre a célra szánt tárolóban kell dobni.

Az elektronikus tárolóeszközökön levő adatok törlése

1. Ha a személyes adatokat más hordozón is tárolja az operátor, mint amire eredetileg begyűjtötte azokat (például önéletrajzok), minden adatbázisból törölni kell azokat.
2. A személyes adatok másolatait is törölni kell.
3. Csak az engedélyezett személy törölheti a személyes adatokat.

Minden adatmegsemmisítést jegyzőkönyvvel kell dokumentálni.

Amennyiben kérdésük van az Adatvédelmi Rendelettel kapcsolatban vagy annak előírásaira vonatkozóan, forduljon bizalommal Daniel Nița adatbiztoshoz (e-mail: contact@analizasecuritate.ro, tel.: 0740.349.729).