Neopravdano čuvanje osobnih podataka

In Praksa, Sve vijesti, Zanimljivosti by stankocerin

Datatilsynet – dansko nadzorno tijelo preporučilo je izricanje novčanu kazne u iznosu od 1,2 milijuna danskih kruna (oko 160 tisuća eura) tvrtki Taxa 4×35koja se bavi pružanjem usluga taxi prijevoza jer “zadržava velike količine osobnih podataka bez pravne osnove”. 

Obzirom da u danskom pravnom sustavu nije dopuštena upravna novčana sankcija kako ju definira Opća uredba, nadzorno tijelo podnosi izvješće (i preporuku za iznos kazne) policiji koja podnosi prijedlog za pokretanjem postupka pred sudom, a sud izriče novčanu kaznu. U provođenju nadzora Datatilsynet se fokusirao na politiku zadržavanja podataka (data retention policy) i tehničke mjere zaštite pohranjenih podataka.

Sukladno poreznim obvezama i politici čuvanja podataka voditelja obrade,  podatke o putnicima i naplaćenim uslugama potrebno je čuvati dvije godine, a utvrđeno je da su podaci čuvani pet godina. Naime Taxa 4×35je u zapisima koji su stariji od dvije godine uklanjala imena i prezimena putnika, a zadržavala brojeve telefona i informacije o vožnjama, koje je brisala tek nakon pet godina.

Regulator je zaključio da se ovakvo postupanje ne može smatrati brisanjem (anonimizacijom) dokle god u bazi podataka postoje dodatne informacije koje se odnose na ispitanika (koji se može identificirati). Voditelj obrade branio je svoje postupke uz obrazloženje da je broj telefona “samo identifikator“, a brisanjem tih podatka bi se narušio integritet baze. 

Zaključak regulatora je da voditelji obrade moraju imati jasno definirane politike zadržavanja osobnih podatakau skladu sa zakonskim obvezama, odnosno načelom ograničenja pohrane, te u ovom slučaju nije bilo nikakvog opravdanja da voditelj zadržava osobne podatke tri godine nakon isteka opravdanog roka čuvanja.

Voditelj obrade mora osigurati učinkovito brisanje, uključujući i datoteke za obnavljanje sigurnosnih kopija, i biti u stanju dokazati da se poduzimaju odgovarajuće radnje kako bi se to osiguralo. Ukoliko postavke IT sustava koji podržavaju obradu podataka ne mogu ispuniti zahtjeve politike zadržavanja podataka (i ostale zahtjeve Opće uredbe) – treba ih mijenjati!

Taxa 4×35prekršila je osnovna načela obrade podataka – načelo zakonitosti, načelo ograničenja svrhe i načelo minimizacije podataka. 

Obrazloženje Datatilsyneta dostupno je na: https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/mar/tilsyn-med-taxa-4x35s-behandling-af-personoplysninger/