Комментарии 32
Also known as Data Erasure, the right to be forgotten entitles the data subject to have the data controller erase his/her personal data, cease further dissemination of the data, and potentially have third parties halt processing of the data. The conditions for erasure, as outlined in article 17, include the data no longer being relevant to original purposes for processing, or a data subjects withdrawing consent. It should also be noted that this right requires controllers to compare the subjects' rights to «the public interest in the availability of the data» when considering such requests.
Остатки же финансовая информация и ее например у нас 5 лет надо хранить, если это виртуальные фантики, то хз, видимо по честному в соглашении пописать что пару месяцев не удалены для закрытия недостач и сведения баланса.
Если это банк на аутсорсинге или ДБО на аутсорсинге, то выгружать архив в банк, пускай сами хранят
Первоночално надо определить причину сбора. Это обязательно.
Art. 6 GDPR Lawfulness of processing
1)b) processing is necessary for the performance of a contract
например для исполнения договора вам нужно знать имя клиента.
Это право его сохранять.
И это не значит, что по первому требованию субьекта вы должны это удалять.
Art. 17 GDPR 3) б)
говорит что если есть правовая причина/обязаность хранить эти данные то она перевешивает.
Например немецкая Налоговая требует хоранить счета до 11 лет. На счетах могут быть в полне конкретные личные данные… Пофиг будем 11 лет хранить.
Данные обезличиваются, а не удаляются. Куча anonymize-скриптов под все подряд уже на гитхабе.
Персональные данные по GDPR. Читаем закон