Aspecte legate de domeniul IT si aplicarea regulamentului de protectie a datelor
Intrebare: As vrea sa clarific cateva aspecte legate de domeniul IT si aplicarea regulamentului de protectie a datelor in acest domeniu.
In compania unde lucrez, adresele de e-mail ale angajatilor sunt de forma nume.prenume@domeniucompanie.ro. In acest caz sunt ele considerate date personale?
Mai mult, fiecare angajat are o semnatura electronica ce contine numele si prenumele, numarul de telefon la care acesta poate fi contactat (telefonul companiei).
Aceasta semnatura se ataseaza la toata corespondenta pe care o poarta angajatul atat intern cat si extern cu clientii nostri.
Mentionez ca toata corespondenta se afla pe serverul companiei si din motive legitime la informatiile de pe server se face copie de siguranta zilnic si saptamanal se face back-up pe banda/DVD/CD.
Considerand acest aspect, in momentul in care un fost angajat solicita, in baza dreptului de stergere uitare prevazut in GDPR, stergerea datelor sale personale, este nevoie sa stergem/distrugem fizic CD/DVD/banda pe care s-a facut backup-ul? Ca si exemplu, daca un angajat a lucrat la noi 10 ani, asta inseamna aproximativ 520 DVD-uri, benzi sau CD-uri care trebuie refacute.
In acelasi timp imi un problema daca nu cumva ar trebui sa solicit stergerea datelor personale inclusiv de la clientii nostri. Aceasta implica costuri la fel de mari si din partea clientilor.
Mai mult decat atat, daca angajatul a lucrat ca inginer suport si a rezolvat probleme pentru clientii nostri in aceasta perioada (10 ani), probleme inregistrate in baza de date a sistemului nostru de ticketing, fiecare ticket continand numele si semnatura angajatului. Pentru aceasta baza de date se face backup zilnic, in cei 10 ani rezultand 3650 de DVD/Benzi/CD-uri.
In cazul in care fostul angajat solicita stergerea datelor cum ar trebui sa procedam? Calculele sunt pentru un fost angajat, dar e posibil sa primim mai multe cereri de acest tip si in acest caz costurile sunt mult mai mari.
Va dati seama ca daca un angajat mai foloseste informatiile de pe un share point, costurile cresc exponential. Daca foloseste un sistem de change management cu tascuri si documente livrate pentru fiecare dintre ele, fiecare document continand numele angajatului (de exemplu, fisiere de tip sursa cod in C, C++) unde pe partea de versionare apare numele angajatului care a creat versiunea respectiva de document, in acest caz impactul este si mai mare dar este vital pentru companie sa stie cine a adaugat o noua versiune (ce imbunatatiri s-au adus precedentului document, daca documentul a fost creat de un incepator, daca a fost revizuit si cu cine a fost revizuit etc.).
Un alt exemplu ar fi logurile de tip firewall in care se face inregistrarea datelor esentiale in ceea ce priveste accesul la internet sau, vital pentru companie, asigurare suport si mentenanta la distanta pe serverul unui client.
Inregistrarile se fac si de o parte si de cealalta (la client) iar accesul se face cu numele de utilizator de forma nume.prenume, pe baza IP-ului statiei angajatului si pe baza unei parole. Acestea identifica in mod unic angajatul companiei.
Daca clientul nostru e in Europa, sa zicem ca nu e o problema deoarece trebuie sa se conformeze GDPR. Ce ma fac daca am clienti in USA, Asia sau Africa si un fost angajat imi cere sa sterg datele sale personale?
O sa spuneti ca acest aspect trebuie acoperit prin contract, eu va raspund ca o astfel de clauza atrage anumite costuri care trebuie suportate de cineva.
Asadar, cererile de tip stergere date personale care nu sunt cuprinse in mod expres in lege dar sunt vitale pentru companie aduc costuri uriase.
Poate pentru o corporatie mare acestea nu sunt semnificative, dar pentru o companie mica aceste costuri pot avea impact major, ele implicand si resurse umane ceea ce poate bloca functionarea unei astfel de companii.
Din punctul meu de vedere, aceste date ar trebui sa nu fie considerate ca fiind date personale sau macar sa se supuna unor exceptii de la GDPR (spre exemplu dreptul de stergere).
Din ce am citit, in unele situatii se poate cere ca aceste servicii sa fie platite de catre cel care solicita stergerea datelor personale. Este aceasta o solutie?
In compania unde lucrez, adresele de e-mail ale angajatilor sunt de forma nume.prenume@domeniucompanie.ro. In acest caz sunt ele considerate date personale?
Mai mult, fiecare angajat are o semnatura electronica ce contine numele si prenumele, numarul de telefon la care acesta poate fi contactat (telefonul companiei).
Aceasta semnatura se ataseaza la toata corespondenta pe care o poarta angajatul atat intern cat si extern cu clientii nostri.
Mentionez ca toata corespondenta se afla pe serverul companiei si din motive legitime la informatiile de pe server se face copie de siguranta zilnic si saptamanal se face back-up pe banda/DVD/CD.
Considerand acest aspect, in momentul in care un fost angajat solicita, in baza dreptului de stergere uitare prevazut in GDPR, stergerea datelor sale personale, este nevoie sa stergem/distrugem fizic CD/DVD/banda pe care s-a facut backup-ul? Ca si exemplu, daca un angajat a lucrat la noi 10 ani, asta inseamna aproximativ 520 DVD-uri, benzi sau CD-uri care trebuie refacute.
In acelasi timp imi un problema daca nu cumva ar trebui sa solicit stergerea datelor personale inclusiv de la clientii nostri. Aceasta implica costuri la fel de mari si din partea clientilor.
Mai mult decat atat, daca angajatul a lucrat ca inginer suport si a rezolvat probleme pentru clientii nostri in aceasta perioada (10 ani), probleme inregistrate in baza de date a sistemului nostru de ticketing, fiecare ticket continand numele si semnatura angajatului. Pentru aceasta baza de date se face backup zilnic, in cei 10 ani rezultand 3650 de DVD/Benzi/CD-uri.
In cazul in care fostul angajat solicita stergerea datelor cum ar trebui sa procedam? Calculele sunt pentru un fost angajat, dar e posibil sa primim mai multe cereri de acest tip si in acest caz costurile sunt mult mai mari.
Va dati seama ca daca un angajat mai foloseste informatiile de pe un share point, costurile cresc exponential. Daca foloseste un sistem de change management cu tascuri si documente livrate pentru fiecare dintre ele, fiecare document continand numele angajatului (de exemplu, fisiere de tip sursa cod in C, C++) unde pe partea de versionare apare numele angajatului care a creat versiunea respectiva de document, in acest caz impactul este si mai mare dar este vital pentru companie sa stie cine a adaugat o noua versiune (ce imbunatatiri s-au adus precedentului document, daca documentul a fost creat de un incepator, daca a fost revizuit si cu cine a fost revizuit etc.).
Un alt exemplu ar fi logurile de tip firewall in care se face inregistrarea datelor esentiale in ceea ce priveste accesul la internet sau, vital pentru companie, asigurare suport si mentenanta la distanta pe serverul unui client.
Inregistrarile se fac si de o parte si de cealalta (la client) iar accesul se face cu numele de utilizator de forma nume.prenume, pe baza IP-ului statiei angajatului si pe baza unei parole. Acestea identifica in mod unic angajatul companiei.
Daca clientul nostru e in Europa, sa zicem ca nu e o problema deoarece trebuie sa se conformeze GDPR. Ce ma fac daca am clienti in USA, Asia sau Africa si un fost angajat imi cere sa sterg datele sale personale?
O sa spuneti ca acest aspect trebuie acoperit prin contract, eu va raspund ca o astfel de clauza atrage anumite costuri care trebuie suportate de cineva.
Asadar, cererile de tip stergere date personale care nu sunt cuprinse in mod expres in lege dar sunt vitale pentru companie aduc costuri uriase.
Poate pentru o corporatie mare acestea nu sunt semnificative, dar pentru o companie mica aceste costuri pot avea impact major, ele implicand si resurse umane ceea ce poate bloca functionarea unei astfel de companii.
Din punctul meu de vedere, aceste date ar trebui sa nu fie considerate ca fiind date personale sau macar sa se supuna unor exceptii de la GDPR (spre exemplu dreptul de stergere).
Din ce am citit, in unele situatii se poate cere ca aceste servicii sa fie platite de catre cel care solicita stergerea datelor personale. Este aceasta o solutie?
Nota: Raspunsul la aceasta intrebare este disponibil doar pentru utilizatorii logati. Clic aici pentru a intra in cont
Atentie la data valabilitatii intrebarii!
Raspunsul oferit este in concordanta cu legislatia in vigoare la data de 30 aug 2018.
Articole similare din categoria Cazuri practice
02Aug2023
Persoana imputernicita cu sediul in alta tara. Autoritatea de supraveghere competenta
de Andrei Savescu
valabil la 02 Aug 2023
07Mar2023
Monitorizarea video in spatiile comune ale mai multor operatori
de Andrei Savescu
valabil la 07 Mar 2023
08Feb2023
Obligatiile avocatilor in privinta datelor cu caracter personal
de Andrei Savescu
valabil la 08 Feb 2023
08Dec2022
Accesul la datele cu caracter personal al unui persoane decedate
de Andrei Savescu
valabil la 08 Dec 2022
01Nov2022
Solicitarea inregistrarilor apelurilor din call center de catre clientii operatorului
de Andrei Savescu
valabil la 01 Nov 2022
Un produs marca 