To jest bardzo ciekawe z prawnego punku widzenia (GDPR/RODO)
Jeżeli przechowywują te dane (SPI - Sensitive Personal Information) u siebie w jakiejkolwiek formie (fizyczna, elektroniczna) bez odpowiedniej zgody (zarejestrowanej fizycznie lub elektronicznie) na takie przetwarzanie danych wrażliwych no to mozna tam zrobić prawny wjazd. Wątpię by firma w takim rozmiarze o świstek nie poprosiła, ale o ile dobrze kojarzę można taką zgodę wycofać i zażądać usunięcia danych z ich systemu, ale tu już by ktoś musiał obcykany w GDPR potwierdzić.
Also known as the right to erasure, the GDPR gives individuals the right to ask organizations to delete their personal data. But organizations don’t always have to do it....
gdpr.eu
Grounds on which you can ask an organisation to delete your personal data, online for example, under EU law.
ec.europa.eu
Co ciekawe: nie ma znaczenia czy tą informację mają w swoich dokumentach/systemie wprost (jako notaka, parafka, symbol składnika premii, itp, itd) czy nie (np. po dacie godzinie nadania nowego składnika/kwoty premii, po długości jego trwania/czasu zakończenia). Jeżeli w systemie są dane na podstawie których taką informację można "odtworzyć" to jest uważane że ona tam jest, nawet jeśli nie wprost. A tu z pewnością mamy do czynienie z SPI.
Jak jest ktoś obcykany z GDPR to chętnie posłucham mądrego.