ЯК ЗБЕРІГАТИ ПЕРСОНАЛЬНІ ДАНІ У ВІДПОВІДНОСТІ З GDPR: ЗАГАЛЬНА ІНФОРМАЦІЯ ДЛЯ КОМПАНІЇ

31 Грудня 2019

Зберігання персональних даних є одним із найвідповідальніших етапів обробки персональних даних, який пронизує собою весь процес взаємодії з персональними даними, від моменту отримання або збирання персональних даних і до моменту видалення персональних даних.

Де повинні зберігатися персональні дані

Розглядаючи питання стосовно місця зберігання персональних даних, варто зазначити, що компанія повинна докладати максимальних зусиль для того, щоб забезпечити максимально надійне зберігання даних, як з технічної, так і з організаційної точки зору, не залежно від того, які це персональні дані та який їхній об’єм.

Перш за все необхідно визначитися з тим, чи будуть персональні дані та й загалом інформація, яка належить компанії, зберігатися в межах баз даних на власних серверах, чи все ж будуть залучатися інші компанії, які надають послуги по зберіганню даних, зокрема хмарні сервіси.

Якщо компанією будуть залучатися сторонні (треті) особи, текстом GDPR вимагається, щоб такі особи мали можливість надати гарантію того, що вони вжили всіх відповідних та необхідних технічних та організаційних заходів, для забезпечення максимальної безпеки персональних даних, в тому числі по відношенню до ризиків, які можуть виникнути для фундаментальних прав, свобод та інтересів фізичних осіб, чиї персональні дані оброблюються.

На вимогу статті 28 GDPR, компанія повинна укласти з такою третьою особою письмовий договір, у відповідності до якого визначатимуться статуси компаній, а також міра відповідальності тієї компанії, яка є власником хмарного сервісу. Разом з тим, необхідно підкреслити, що визначення статусу компанії є надзвичайно важливим, адже компанія, яку ви залучаєте, скоріш за все буде вашим обробником, тобто, виконувати ваші вказівки та діяти за вашими інструкціями. Якщо компанія встановлюватиме власні цілі, вона може бути визнана контролером, що значно ускладнить питання взаємодії, в контексті зберіганні персональних даних.

Користуючись послугами хмарних сервісів або ж залучаючи будь-які інші треті особи, ви повинні бути впевнені, що в будь-який момент, ваша компанія зможе отримати доступ до персональних даних, які зберігаються, а також в тому, що у випадку будь-якого порушення або технічного інциденту, така третя особа негайно вас повідомить, адже у відповідності до GDPR, лише контролер, яким є ваша компанія, несе відповідальність за будь-які порушення вимог GDPR. Тобто, таке не попередження може бути для вас вкрай негативним.

Заходи безпеки при зберіганні персональних даних

Основною вимогою GDPR є вжиття заходів по призначенню та по замовчуванню (by design and by default). Це значить, що компанії повинні вживати всі необхідні організаційні та технічні заходи для забезпечення безпеки персональних даних, а також для виконання принципів, визначених GDPR та іншим європейським законодавством у сфері захисту персональних даних. Окрім цього, текст регламенту передбачає, що за замовчуванням повинні збиратися та використовуватися тільки ті персональні дані, які є необхідними для цілей, встановлених компанією.

Стаття 32 GDPR передбачає, що як контролера, так і обробник повинні вживати такі заходи як «псевдонімізація» та «шифрування». При цьому, «псевдонімізація» передбачає, що персональні дані, для гарантування більшої безпеки, повинні зберігатися у вигляді, який би не дозволяв їх використовувати неавторизованим особам з метою ідентифікації фізичних осіб, яким персональні дані належать, а дозволяв би тільки тим особам, які мають на це право, при цьому поєднуючи інформацію з баз даних, де зберігаються псевдонімізовані дані, а також інформацію з інших баз даних, яка надає можливість зробити дані такими, з допомогою яких можна ідентифікувати фізичну особу. В свою чергу, «шифрування» – це спосіб, який поєднує в собі використання новітніх технологій та сучасних засобів, з допомогою якого персональні дані шифруються до невпізнанності і, у зв’язку з цим, не можуть бути використані для ідентифікації особи без використання спеціального ключа-дешифратора.

З практичної точки зору, зазначені вище інструменти, на думку європейських органів, є найбільш ефективними в процесі забезпечення безпеки персональних даних, однак, компанією не можуть виключатися і інші засоби, що можуть мати тотожну, а то і більшу ефективність.

В сфері безпеки зберіганні персональних даних, залишається питання і щодо режиму доступу до персональних даних. Наприклад, коли в компанії є один спільний акаунт, з допомогою якого до бази персональних даних мають доступ всі без виключення працівники, то навряд чи такий режим доступу може бути визнаний безпечним Натомість, компанії варто розробити внутрішні процедури, які б регламентували доступ тільки тим особам, які дійсно цього потребують в рамках своєї компетенції, і тільки тоді, коли це дійсно необхідно для реалізації цілей, визначених компанією.

Як персональні дані повинні зберігатися та протягом якого строку

Доволі часто компанії не усвідомлюють, що насправді вимагає GDPR по відношенню до зберігання персональних даних, зокрема в питання структуризації даних.

Так наприклад стаття 30 GDPR передбачає, що компанія повинна зберігати записи про обробку персональних даних. В цьому випадку мається на увазі, що компанії варто структурувати бази даних і визначити, які персональні дані зберігаються і для яких цілей. На нашу думку, персональні дані для однієї цілі повинні зберігатися окремо від персональних даних, які зберігаються для іншої. Це допоможе компанії краще орієнтуватися при запитах від фізичних осіб – суб’єктів даних, а також при здійснення перевірок з-боку контролюючих органів.

Персональні дані, як правило, не повинні зберігатися довше ніж це необхідно для цілей, для яких такі персональні дані були зібрані. Однак, існують ситуації, коли компанія може залишити персональні дані у себе на зберіганні, зокрема, коли мова йде про виконання цілей, встановлених законодавством ЄС, у відповідності до якого компанія є суб’єктом, або ж для виконання інших цілей, перелік яких визначається GDPR.

В будь-якому випадку, після закінчення строку зберігання, компанія повинна видалити персональні дані безповоротньо. Винятком можуть слугувати тільки статистичні дані, які не мають ознак персональних, та з допомогою яких не може бути ідентифікована жодна фізична особа.

Висновок

До питання організації зберігання персональних даних потрібно підходити досить виважено та обов’язково в комплексі з вирішенням інших надважливих завдань в контексті обробки персональних даних. Спеціалісти  BSO Privacy Group завжди готові допомогти вам у подолання нових викликів, які ставить перед вами GDPR та нове законодавство ЄС у сфері захисту персональних даних.