Skip to main content

RODO

Prawo do bycia zapomnianym

Na podstawie rozporządzenia RODO, każdy ma prawo do bycia zapomnianym w bazach danych systemów informatycznych. Realizacja tego uprawnienia w systemie bs4 jest szczególnym wyzwaniem, gdyż programy tego typu i dane osobowe klientów są ze sobą wręcz nierozerwalne.

W artykule prezentujemy wspomniane prawo w praktyce, na przykładzie rozwiązania zastosowanego w bs4 core.

RODO: prawo do bycia zapomnianym

Kasowanie danych osobowych

Prawo do bycia zapomnianym jest realizowane przez opcję usunięcia osoby z bazy, z poziomu kartoteki osoby. Podstawowe dane – imię, nazwisko, dane kontaktowe – są definitywnie usuwane z systemu.

  • Jeżeli ta osoba jest samodzielnym kontrahentem w bazie (bo obsługujemy osoby prywatne – B2C, a nie firmy), to użytkownik systemu powinien kasować całego kontrahenta, łącznie z jego adresem.
  • Jeżeli ta osoba jest jednym z pracowników kontrahenta (B2B), to jej usunięcie nie kasuje automatycznie powiązanego kontrahenta ani powiązanego z tą osobą adresu siedziby, gdyż ten adres może być wskazywany również dla innych osób.

Kasowanie informacji powiązanych z daną osobą

W systemie bs4 jest potencjalnie duża ilość informacji powiązanych z osobami, w innych tabelach bazy danych. Program bs4 core daje możliwość szczegółowego ustawienia czy podczas kasowania mają zostać usunięte tylko powiązania do „zapominanej” osoby, czy powiązane informacje mają być kasowane w całości.

Domyślnie przyjęliśmy szereg pewnych ustawień. Przykładowa realizacja prawa do bycia zapomnianym w praktyce może wyglądać następująco:

1. Gdy kasujemy osobę to system usuwa w całości:

  • zdarzenia i zadania powiązane z tą osobą
  • otrzymane i wysłane maile tej osoby
  • udzielone zgody i odwołania zgód na przetwarzanie danych osobowych

2. Gdy kasujemy osobę, system w wielu rekordach zapomina o powiązaniu do tej osoby:

  • jeżeli ta osoba była wskazana jako osoba kontaktowa w transakcjach (tematach handlowych), zleceniach (np. serwisowych), wysyłkach, to od tego momentu nikt nie jest już tam wskazany jako osoba kontaktowa, jednak powiązanie z kontrahentem pozostaje bez zmian (w przypadku B2B).

Kasowanie informacji z notatek

Jeżeli użytkownik programu wymienił imię i nazwisko lub inne dane osobowe w treści np. zdarzeń, zadań, komunikatów, maili niepowiązanych bezpośrednio z daną osobą (przykładowo pisał do firmy trzeciej lub w komunikacie do współpracownika o tej osobie), wtedy program nie jest w stanie tego automatycznie wykasować. Nie może określić, że w kontekście rozmowy chodzi o tego konkretnego Kowalskiego, który chce być zapomnianym.

Dlatego w ramach przygotowań do RODO, warto edukować pracowników o prawie do bycia zapomnianym w praktyce:

  • dane osobowe należy zawsze wpisywać w miejscach do tego przeznaczonych,
  • wszystkie treści związane z konkretnymi osobami powinny być powiązane z kartoteką danej osoby, aby program mógł je znaleźć i skasować.

Repozytorium usuniętych danych

Program bs4 core zapisuje wszystkie kasowane dane do bazy buforowej. W ten sposób można odzyskać informacje przypadkowo lub błędnie usunięte przez użytkowników. W programie można ustalić częstotliwość czyszczenia bazy buforowej.

W obliczu wymagań RODO nie można wyłączyć kasowania bazy buforowej, a usuwane dane osobowe nie powinny pozostawać w niej zbyt długo. Dokładnie ten czas powinien określić administrator systemu.

Prawo do bycia zapomnianym a kopie zapasowe

Backupy wykonane przed usunięciem konkretnych danych osobowych nadal je zawierają. Program bs4 core standardowo wykonuje backupy co noc – maksymalnie do 7 kopii w kolejnych dniach tygodnia.

To oznacza, że backup zawierający dane osobowe usuniętej osoby zostanie definitywnie nadpisany nowszym backupem (który nie zawiera już takich danych) w ciągu maksymalnie 7 dób – i tym samym wymóg ustawy dotyczący prawa do bycia zapomnianym zostanie spełniony.

Ważne! Jeżeli informatyk właściciela programu kopiuje backupy na inne nośniki i dłużej je przechowuje, powinien rozważyć wdrożenie na własną rękę mechanizmów, które będą usuwać dane osób „zapomnianych” ze „starych” backupów.