Miesiąc temu weszło w życie niesławne RODO i z tej okazji dostałem, jak wszyscy, całą serię maili z informacją o moich danych. Potraktowałem to jako swoisty przegląd tego, gdzie moje dane nie są już potrzebne i po prostu odpowiadałem grzecznie, że proszę o usunięcie moich danych. Prosta sprawa.
Okazuje się jednak, że dla chcącego nic trudnego - wszystko da się obejść zgodnie z prawem. Jedna z firm właśnie wysłała mi mail o następującej treści:
"Pracujemy nad Twoim zgłoszeniem związanym z przetwarzaniem danych w systemach XXX. Ze względu na skomplikowanie procesu, potrzebujemy dodatkowych dwóch miesięcy na rozpatrzenie Twojego wniosku. Jest to zgodne z przepisami o ochronie danych osobowych (Rozporządzenie ogólne o ochronie danych, art. 12 ust. 3). Prosimy o cierpliwość. Prześlemy informacje o tym, jakie działania zostaną podjęte w związku z Twoim zgłoszeniem."
Znaczy wystarczy napisać skrypt wysyłający mail o "skomplikowanym" procesie i dane mogą zostać... Super.
Polska uslugi
Nie mogą.
OdpowiedzOczywiście, że mogą, RODO nie mówi nic o terminie usunięcia. Co więcej - w wyjątkowych przypadkach mogą wcale nie zostać usunięte.
Odpowiedz@krzycz: Twoje dane mogą pozostać jeżeli jest to podyktowane innymi zobowiązaniami na przykład wymogi prawa skarbowego, lub ewidencja byłych pracowników zatrudnionych w firmie itp. Jednak od chwili wpłynięcia twojego wniosku czyli cofnięcia zgód mają obowiązek zaprzestać ich przetwarzania jeśli tego nie zrobią zgłaszasz sprawę do GIODO
Odpowiedz@Eander: GIODO już nie ma, to raz. A dwa - to mowa o usunięciu, a nie zaprzestaniu przetwarzania ;) Zresztą RODO mówi tylko, że "niezwłocznie", a dla każdego to za inne znaczenie ;)
Odpowiedz@krzycz: Jak zwał tak zwał ważne żeby zgłosić :) (przepraszam za pomyłkę) A co do samego usunięcia jeśli chce im się utrzymywać moje dane bez możliwości ich wykorzystywania w jakikolwiek sposób, oraz ryzykować karami za ewentualne wycieki ich sprawa. Ważne że zaprzestać przetwarzać muszą natychmiast.
OdpowiedzPowołują się na artykuł, który od razu wypaczają. Art. 12 ust 3. "3. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy." Odezwij się do nich po miesiącu i również się powołaj na ten Artykuł i zażądaj wyjaśnień. :)
Odpowiedz