Необхідність в розробленні Data Retention and Destruction Policy, в контексті вимог GDPR

17 Грудня 2020

Не секрет, що GDPR передбачає деякі вимоги щодо зберігання персональних даних тільки протягом певного періоду та для визначених цілей. Разом з тим, в тексті GDPR передбачається і вимога видаляти персональні дані в певних ситуаціях.

Загальні вимоги щодо зберігання персональних даних

В загальному, у відповідності до вимог GDPR,  кожна компанія, яка здійснює обробку персональних даних, зобов’язана зберігати такі дані виключно протягом строку, необхідного для реалізації цілей, у відповідності з якими такі персональні дані були зібрані та для яких вони оброблялися. Тобто, фактично потрібно розуміти, що після реалізації цілі, для якої компанія збирала персональні дані фізичної особи, компанія зобов’язана видалити такі персональні дані.

Передбачаються також ситуації, коли в процесі обробки персональних даних для первинної цілі, можуть виникати додаткові цілі обробки, або ж первинна ціль може бути замінена на іншу. В такому випадку, компанія зобов’язана повідомляти власника персональних даних про те, що його дані будуть оброблюватися для нової або ж додаткової цілі.  При цьому, компанія завжди повинна гарантувати право суб’єкта даних щодо можливості відмови від подальшої обробки його персональних даних.

GDPR передбачає, що у деяких випадках, персональні дані можуть зберігатися довше ніж це необхідно для встановлених цілей обробки. Мова йде, перш за все, про випадки, коли зберігання персональних даних вимагається законодавством, яке застосовується до компанії, яка здійснює обробку. Зокрема, деякі персональні дані та інша інформація про особу може зберігатися для цілей звітності перед фіскальними органами, а також для цілей ведення належного бухгалтерського обліку.

Інколи, компанія може зберігати деякі персональні дані для цілей захисту своїх законних інтересів, зокрема у випадках, коли існує небезпека того, що до кампанії можуть звернутися особи з позовними вимогами щодо предмету, який так чи інакше пов’язаний персональними даними, що оброблювалися або зберігаються компанією. З практичної точки зору, такий строк не повинен перевищувати строк загальної позовної давності, яка передбачена законодавством, яке застосовується.

Загальні вимоги щодо видалення персональних даних

Персональні дані, по завершенню строку їхнього зберігання, повинні бути видалені. Компанія також може анонімізувати персональні дані, однак, зазвичай, найзручнішим варіантом є видалення персональних даних та всіх їхніх копій. В цьому випадку, мається на увазі, що компанія не повинна залишити в своєму розпорядженні будь-якої інформації, з допомогою якої була б можливість ідентифікувати особу.

Коли йде мова про видалення персональних даних, не маються на увазі статистичні, аналітичні або анонімізовані дані, які за своєю природою та структурою є такими, що не містять можливостей для персоналізації окремих суб’єктів даних.

Обов’язок видалити персональні дані виникає у компанії також в тому випадку, коли суб’єкт персональних даних звернувся до компанії з вимогою про таке видалення. Порядок подачі відповідного запиту регулюється General Data Protection Regulation, в частині вимог щодо необхідності забезпечення реалізації прав суб’єктів даних компаніями, які здійснюють обробку їхніх персональних даних.

Внутрішні документи, якими регулюється зберігання та видалення даних

Компанія повинна мати низку регламентуючих документів, які б забезпечували визначення чіткого порядку дій по відношенню до персональних даних в цілому. Такі документи, в тому числі, повинні регулювати і питання зберігання та видалення персональних даних. Наприклад, мова йде про Data Retention and Destruction Policy або просто Data Retention Policy.  Зазначена політика повинна дотримуватися всіма працівниками компанії, а також особами, які можуть залучатися компанією до обробки персональних даних, слугуючи при цьому одним із фундаментальних елементів в забезпеченні відповідності (GDPR Compliance) компанії вимогам GDPR.

Для розробки Data Retention Policy, Компанія повинна вжити наступні дії:

  • Визначити, які персональні дані наразі зберігаються, як і де;
  • Залучити юристів (з числа власних працівників або підрядників), з метою визначити юридичні підстави та вимоги щодо зберігання даних;
  • Проаналізувати всі можливі сценарії, які б вимагали збереження персональних даних компанією;
  • Оцінити наслідки збереження та знищення даних для бізнесу;
  • Залучити ІТ спеціалістів (з числа власних працівників або підрядників),  для розробки та впровадження політики.

Для належного управління персональними даними потрібні відповіді на запитання, наприклад, чому компанія здійснює обробку персональних даних або чому компанія зберігає персональні дані, та як довго це потрібно робити. Процес починається з виявлення всіх персональних даних, якими володіє та оперує компанія, а також визначення способу їх використання. Далі, компанія повинна узгодити використання даних із законодавчими зобов’язаннями щодо збереження. Зберігання та видалення персональних даних слід виконувати з обережністю, а також зберігати персональні дані до тих пір, поки організація має визначені бізнес цілі – це загальновживаний передовий досвід.

Впровадження та узгодження Data Retention Policy

Будь-яка політика, пов’язана з реалізаціє програми приватності в середині компанії, в тому числі і Data Retention Policy, не буде діяти, якщо працівники або особи, які залучаються компанією до обробки персональних даних, не дотримуються такої політики. Компанія повинна шукати шляхи, з допомогою яких була б можливість дозволити працівникам інтегрувати політику у свої повсякденні завдання. Менеджер з питання конфіденційності в Компанії може досягти цієї мети, узгоджуючи політику з існуючими діловими процедурами, навчаючи працівників та підвищуючи їхню обізнаність.

Багатонаціональні та багатогалузеві компанії мають додаткові виклики, щоб забезпечити узгодженість та уніфікацію Data Retention Policy у всіх регіонах, дотримуючись при цьому місцевих законів, нормативних актів та галузевих вказівок.

Політика повинна бути узгоджена зі всіма іншими внутрішніми документами компанії, які спрямовані на забезпечення GDPR compliance, а також іншими внутрішніми документами, які використовуються компанією в веденні бізнесу.

Компанія має також забезпечити узгодженість Data Retention Policy з конкретно визначеними функціями в середині компанії, а також документувати та переглядати Data Retention Policy в контексті її узгодженості з наступними функціями: (i) HR; (ii) Розвиток бізнесу (при оцінці пропонованих проектів); (iii) Управління проектами; (iv) Управління закупівлями та контрактами; (v) Управління ризиками; (vi) Управління інцидентами; (vii) Управління продуктивністю.

Необхідно повністю прояснити невідповідність між політиками, щоб забезпечити відсутність прогалин та непорозумінь в рамках реалізації програми приватності.

Розробка Data Retention Policy, так само як і інших документів це процес, який потребує уваги та професійних навиків спеціалістів, які таку політику розроблюють. В будь-якому випадку, не варто забувати, що розробка документів для забезпечення GDPR Compliance залишається одним із базових завдань, яке повинна реалізовувати кожна компанія, до якої застосовуються норми GDPR.