КАК ХРАНИТЬ ЛИЧНЫЕ ДАННЫЕ В СООТВЕТСТВИИ С GDPR: ОБЩИЕ СВЕДЕНИЯ ДЛЯ КОМПАНИИ
Хранение персональных данных является одним из самых этапов обработки персональных данных, который пронизывает собой весь процесс взаимодействия с персональными данными, с момента получения или сбора персональных данных и до момента удаления персональных данных.
Где должны храниться персональные данные
Рассматривая вопрос относительно места хранения персональных данных, стоит отметить, что компания должна прилагать максимальные усилия для того, чтобы обеспечить максимально надежное хранение данных, как с технической, так и с организационной точки зрения, независимо от того, какие это персональные данные и который их объем.
Прежде всего необходимо определиться с тем, будут ли персональные данные и вообще информация, которая принадлежит компании, сохраняться в пределах баз данных на собственных серверах, все же будут привлекаться другие компании, которые предоставляют услуги по хранению данных, в частности облачные сервисы.
Если компанией будут привлекаться (третьи) лица, текстом GDPR требуется, чтобы такие лица имели возможность предоставить гарантию того, что они приняли все соответствующие и необходимые технические и организационные меры для обеспечения максимальной безопасности персональных данных, в том числе по отношению к рискам, которые могут возникнуть для фундаментальных прав, свобод и интересов физических лиц, чьи персональные данные обрабатываются.
По требованию статьи 28 GDPR, компания должна заключить с таким третьим лицом письменный договор, в соответствии с которым будут определяться статусы компаний, а также степень ответственности той компании, которая является владельцем облачного сервиса. Вместе с тем, необходимо подчеркнуть, что определение статуса компании является чрезвычайно важным, ведь компания, которую вы привлекаете, скорее всего будет вашим обработчиком, то есть, выполнять ваши указания и действовать по вашим инструкциям. Если компания будет устанавливать собственные цели, она может быть признана контроллером, значительно усложнит вопросы взаимодействия в контексте хранении персональных данных.
Пользуясь услугами облачных сервисов или привлекая любые другие третьи лица, вы должны быть уверены, что в любой момент, ваша компания сможет получить доступ к персональным данным, которые хранятся, а также в том, что в случае любого нарушения или технического инцидента, такая третье лицо немедленно вам сообщит, ведь в соответствии с GDPR, только контроллер, которым ваша компания несет ответственность за любые нарушения требований GDPR. То есть, такое не предупреждение может быть для вас крайне негативным.
Меры безопасности при хранении персональных данных
Основным требованием GDPR является принятие мер по назначению и по умолчанию (by design and by default). Это значит, что компании должны принимать все необходимые организационные и технические меры для обеспечения безопасности персональных данных, а также для выполнения принципов, определенных GDPR и другим европейским законодательством в сфере защиты персональных данных. Кроме этого, текст регламента предусматривает, что по умолчанию должны собираться и использоваться только те персональные данные, которые необходимы для целей, установленных компанией.
Статья 32 GDPR предусматривает, что в качестве контроллера, так и обработчик должны принимать такие меры как «псевдонимизация» и «шифрование». При этом, «псевдонимизация» предусматривает, что персональные данные, для обеспечения большей безопасности, должны храниться в виде, который бы не позволял их использовать неавторизованным лицам с целью идентификации физических лиц, которым персональные данные относятся, а позволял бы только тем лицам, которые имеют на это право, при этом сочетая информацию из баз данных, где хранятся псевдонимизовани данные, а также информацию из других баз данных, позволяет сделать данные такими, с помощью которых можно идентифицировать физическое лицо. В свою очередь, «шифрование» — это способ, который сочетает в себе использование новейших технологий и современных средств, с помощью которого персональные данные шифруются до неузнаваемости и, в связи с этим, не могут быть использованы для идентификации личности без использования специального ключа -дешифратора.
С практической точки зрения, указанные выше инструменты, по мнению европейских органов, являются наиболее эффективными в процессе обеспечения безопасности персональных данных, однако, компанией не могут исключаться и другие средства, которые могут иметь тождественную, а то и большую эффективность.
В сфере безопасности хранении персональных данных, остается вопрос и о режиме доступа к персональным данным. Например, когда в компании есть один общий аккаунт, с помощью которого в базу персональных данных имеют доступ все без исключения работники, то вряд ли такой режим доступа может быть признан безопасным Зато компании следует разработать внутренние процедуры, которые бы регламентировали доступ только тем лицам, которые действительно в этом нуждаются в рамках своей компетенции, и только тогда, когда это действительно необходимо для реализации целей, определенных компанией.
Как персональные данные должны храниться и в течение какого срока
Довольно часто компании не осознают, что на самом деле требует GDPR по отношению к хранению персональных данных, в частности в вопросы структуризации данных.
Так, например статья 30 GDPR предусматривает, что компания должна сохранять записи об обработке персональных данных. В этом случае имеется в виду, что компании следует структурировать базы данных и определить, какие персональные данные хранятся и для каких целей. По нашему мнению, персональные данные для одной цели должны храниться отдельно от персональных данных, которые хранятся для другой. Это поможет компании лучше ориентироваться при запросах от физических лиц — субъектов данных, а также при осуществлении проверок из-стороны контролирующих органов.
Персональные данные, как правило, не должны храниться дольше чем это необходимо для целей, для которых такие персональные данные были собраны. Однако, существуют ситуации, когда компания может оставить персональные данные у себя на хранении, в частности, когда речь идет о выполнении целей, установленных законодательством ЕС, в соответствии с которым компания является субъектом, или же для выполнения других целей, перечень которых определяется GDPR .
В любом случае, после окончания срока хранения, компания должна удалить персональные данные безвозвратно. Исключением могут служить только статистические данные, которые не имеют признаков персональных, и с помощью которых может быть идентифицирована ни одно физическое лицо.
вывод
К вопросу организации хранения персональных данных нужно подходить взвешенно и обязательно в комплексе с решением других сверхважных задач в контексте обработки персональных данных. Специалисты BSO Privacy Group всегда готовы помочь вам в преодолении новых вызовов, которые ставит перед вами GDPR и новое законодательство ЕС в сфере защиты персональных данных.
