Необходимость в разработке Data Retention and Destruction Policy, в контексте требований GDPR

17 декабря 2020

Не секрет, что GDPR предусматривает некоторые требования по хранению персональных данных только в течение определенного периода и для определенных целей. Вместе с тем, в тексте GDPR предполагается и требование удалять персональные данные в определенных ситуациях.

Общие требования по хранению персональных данных

В общем, в соответствии с требованиями GDPR, каждая компания, которая осуществляет обработку персональных данных, обязана хранить такие данные исключительно в течение срока, необходимого для реализации целей, в соответствии с которыми такие персональные данные были собраны и для которых они обрабатывались. То есть, фактически нужно понимать, что после реализации цели, для которой компания собирала персональные данные физического лица, компания обязана удалить такие персональные данные.

Предусматриваются также ситуации, когда в процессе обработки персональных данных первичной цели, могут возникать дополнительные цели обработки, или первичная цель может быть заменена на другую. В таком случае, компания обязана уведомлять собственника персональных данных о том, что его данные будут обрабатываться для новой или дополнительной цели. При этом, компания всегда должна гарантировать право субъекта данных о возможности отказа от дальнейшей обработки его персональных данных.

GDPR предусматривает, что в некоторых случаях, персональные данные могут храниться дольше чем это необходимо для установленных целей обработки. Речь идет, прежде всего, о случаях, когда хранения персональных данных требуется законодательством, применяется в компанию, которая осуществляет обработку. В частности, некоторые персональные данные и другая информация о лице может сохраняться для целей отчетности перед фискальными органами, а также для целей ведения надлежащего бухгалтерского учета.

Иногда, компания может хранить некоторые персональные данные для целей защиты своих законных интересов, в том числе в случаях, когда существует опасность того, что в кампании могут обратиться лица с исковыми требованиями относительно предмета, который так или иначе связан персональными данными, оброблювалися или хранятся компанией. С практической точки зрения, такой срок не должен превышать срок общей исковой давности, предусмотренной законодательством, применяется.

Общие требования по удалению персональных данных

Персональные данные, по завершению срока их хранения, должны быть удалены. Компания также может анонимизировать персональные данные, однако, как правило, наиболее удобным вариантом является удаление персональных данных и всех их копий. В этом случае, имеется в виду, что компания не должна оставить в своем распоряжении любой информации, с помощью которой была бы возможность идентифицировать личность.

Когда речь идет об удалении персональных данных, не имеются в виду статистические, аналитические или анонимизовани данные, которые по своей природе и структуре являются, не содержащие возможностей для персонализации отдельных субъектов данных.

Обязанность удалить персональные данные возникает в компании также в том случае, когда субъект персональных данных обратился в компанию с требованием о таком удаления. Порядок подачи соответствующего запроса регулируется General Data Protection Regulation, в части требований о необходимости обеспечения реализации прав субъектов данных компаниями, которые осуществляют обработку их персональных данных.

Внутренние документы, которыми регулируется хранения и удаления данных

Компания должна иметь ряд регламентирующих документов, обеспечивающих определение четкого порядка действий в отношении персональных данных в целом. Такие документы, в том числе, должны регулировать и вопросы хранения и удаления персональных данных. Например, речь идет о Data Retention and Destruction Policy или просто Data Retention Policy. Указанная политика должна соблюдаться всеми сотрудниками компании, а также лицами, которые могут привлекаться компанией к обработке персональных данных, служа при этом одним из фундаментальных элементов в обеспечении соответствия (GDPR Compliance) компании требованиям GDPR.

Для разработки Data Retention Policy, Компания должна принять следующие действия:

Определить, какие персональные данные пока сохраняются, как и где;
Привлечь юристов (из числа собственных сотрудников или подрядчиков), с целью определить юридические основания и требования по хранению данных;
Проанализировать все возможные сценарии, которые требовали сохранения персональных данных компанией;
Оценить последствия сохранения и уничтожения данных для бизнеса;
Привлечь ИТ специалистов (из числа собственных сотрудников или подрядчиков), для разработки и внедрения политики.

Для надлежащего управления персональными данными нужны ответы на вопросы, например, почему компания осуществляет обработку персональных данных или почему компания сохраняет персональные данные, и как долго это нужно делать. Процесс начинается с выявления всех персональных данных, которыми располагает и оперирует компания, а также определения способа их использования. Далее, компания должна согласовать использование данных с законодательными обязательствами по сохранению. Хранения и удаления персональных данных следует выполнять с осторожностью, а также хранить персональные данные до тех пор, пока организация имеет определенные бизнес цели — это общеупотребительный передовой опыт.

Внедрение и согласования Data Retention Policy

Любая политика, связанная с реализацией программы приватности внутри компании, в том числе и Data Retention Policy, а не будет действовать, если работники или лица, которые привлекаются компанией к обработке персональных данных, не соблюдают такой политики. Компания должна искать пути, с помощью которых была бы возможность позволить работникам интегрировать политику в свои повседневные задачи. Менеджер по вопросу конфиденциальности в компании может достичь этой цели, согласовывая политику с существующими деловыми процедурами, обучая работников и повышая их осведомленность.

Многонациональные и многоотраслевые компании имеют дополнительные вызовы, чтобы обеспечить согласованность и унификацию Data Retention Policy во всех регионах, соблюдая при этом местных законов, нормативных актов и отраслевых указаний.

Политика должна быть согласована со всеми другими внутренними документами компании, направленных на обеспечение GDPR compliance, а также другими внутренними документами, используемые компанией в ведении бизнеса.

Компания также обеспечить согласованность Data Retention Policy с конкретно определенными функциями внутри компании, а также документировать и просматривать Data Retention Policy в контексте ее согласованности со следующими функциями: (i) HR; (Ii) Развитие бизнеса (при оценке предлагаемых проектов) (Iii) Управление проектами; (Iv) Управление закупками и контрактами; (V) Управление рисками; (Vi) Управление инцидентами; (Vii) Управление производительностью.

Необходимо полностью прояснить несоответствие между политиками, чтобы обеспечить отсутствие пробелов и недоразумений в рамках реализации программы приватности.

Разработка Data Retention Policy, так же как и других документов это процесс, требующий внимания и профессиональных навыков специалистов, такую ​​политику разрабатывают. В любом случае, не стоит забывать, что разработка документов для обеспечения GDPR Compliance остается одним из базовых задач, должна реализовывать каждая компания, в которой применяются нормы GDPR.