Aspecte legate de domeniul IT si aplicarea regulamentului de protectie a datelor
In compania unde lucrez, adresele de e-mail ale angajatilor sunt de forma nume.prenume@domeniucompanie.ro. In acest caz sunt ele considerate date personale?
Mai mult, fiecare angajat are o semnatura electronica ce contine numele si prenumele, numarul de telefon la care acesta poate fi contactat (telefonul companiei).
Aceasta semnatura se ataseaza la toata corespondenta pe care o poarta angajatul atat intern cat si extern cu clientii nostri.
Mentionez ca toata corespondenta se afla pe serverul companiei si din motive legitime la informatiile de pe server se face copie de siguranta zilnic si saptamanal se face back-up pe banda/DVD/CD.
Considerand acest aspect, in momentul in care un fost angajat solicita, in baza dreptului de stergere uitare prevazut in GDPR, stergerea datelor sale personale, este nevoie sa stergem/distrugem fizic CD/DVD/banda pe care s-a facut backup-ul? Ca si exemplu, daca un angajat a lucrat la noi 10 ani, asta inseamna aproximativ 520 DVD-uri, benzi sau CD-uri care trebuie refacute.
In acelasi timp imi un problema daca nu cumva ar trebui sa solicit stergerea datelor personale inclusiv de la clientii nostri. Aceasta implica costuri la fel de mari si din partea clientilor.
Mai mult decat atat, daca angajatul a lucrat ca inginer suport si a rezolvat probleme pentru clientii nostri in aceasta perioada (10 ani), probleme inregistrate in baza de date a sistemului nostru de ticketing, fiecare ticket continand numele si semnatura angajatului. Pentru aceasta baza de date se face backup zilnic, in cei 10 ani rezultand 3650 de DVD/Benzi/CD-uri.
In cazul in care fostul angajat solicita stergerea datelor cum ar trebui sa procedam? Calculele sunt pentru un fost angajat, dar e posibil sa primim mai multe cereri de acest tip si in acest caz costurile sunt mult mai mari.
Va dati seama ca daca un angajat mai foloseste informatiile de pe un share point, costurile cresc exponential. Daca foloseste un sistem de change management cu tascuri si documente livrate pentru fiecare dintre ele, fiecare document continand numele angajatului (de exemplu, fisiere de tip sursa cod in C, C++) unde pe partea de versionare apare numele angajatului care a creat versiunea respectiva de document, in acest caz impactul este si mai mare dar este vital pentru companie sa stie cine a adaugat o noua versiune (ce imbunatatiri s-au adus precedentului document, daca documentul a fost creat de un incepator, daca a fost revizuit si cu cine a fost revizuit etc.).
Un alt exemplu ar fi logurile de tip firewall in care se face inregistrarea datelor esentiale in ceea ce priveste accesul la internet sau, vital pentru companie, asigurare suport si mentenanta la distanta pe serverul unui client.
Inregistrarile se fac si de o parte si de cealalta (la client) iar accesul se face cu numele de utilizator de forma nume.prenume, pe baza IP-ului statiei angajatului si pe baza unei parole. Acestea identifica in mod unic angajatul companiei.
Daca clientul nostru e in Europa, sa zicem ca nu e o problema deoarece trebuie sa se conformeze GDPR. Ce ma fac daca am clienti in USA, Asia sau Africa si un fost angajat imi cere sa sterg datele sale personale?
O sa spuneti ca acest aspect trebuie acoperit prin contract, eu va raspund ca o astfel de clauza atrage anumite costuri care trebuie suportate de cineva.
Asadar, cererile de tip stergere date personale care nu sunt cuprinse in mod expres in lege dar sunt vitale pentru companie aduc costuri uriase.
Poate pentru o corporatie mare acestea nu sunt semnificative, dar pentru o companie mica aceste costuri pot avea impact major, ele implicand si resurse umane ceea ce poate bloca functionarea unei astfel de companii.
Din punctul meu de vedere, aceste date ar trebui sa nu fie considerate ca fiind date personale sau macar sa se supuna unor exceptii de la GDPR (spre exemplu dreptul de stergere).
Din ce am citit, in unele situatii se poate cere ca aceste servicii sa fie platite de catre cel care solicita stergerea datelor personale. Este aceasta o solutie?
Nota: Raspunsul la aceasta intrebare este disponibil doar pentru utilizatorii inregistrati. Clic aici pentru a te convinge de utilitatea raspunsurilor oferite de expertii PortalProtectiaDatelor.ro
Atentie la data valabilitatii intrebarii!
Raspunsul oferit este in concordanta cu legislatia in vigoare la data de 30 aug 2018.
Login utilizator
De ce sa ma inregistrez?
- 25 de experti sunt la dispozitia ta 24 / 7 / 365!
- Ai acces la o baza de date cu 1015 intrebari si raspunsuri.
- Toate informatiile din portal iti stau la dispozitie oricand si din orice locatie!
Puteti accesa raspunsul la intrebarea de mai sus, platind prin SMS 10 Euro + TVA.
Apasa butonul "Plateste prin SMS" si urmeaza instructiunile privind procedura de plata folosind telefonul mobil. Odata procedura de plata finalizata, vei putea vizualiza raspunsul chiar in pagina accesata.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!