Зберігання даних та GDPR
Статті про GDPR оминають увагою зберігання даних та їх видалення. Тут може бути не менший обсяг для роботи, і не менші непорозуміння.
Що каже GDPR?
У Art 5.1(e) та Recital 39 встановлюють основні принципи зберігання даних:
- період зберігання даних залежить від мети їх обробки;
- період має бути мінімальним;
- період може бути встановлений контролером (тобто, вами).
ICO (орган відповідальний за GDPR у Великобританії) надав деякі поради для встановлення періоду зберігання даних:
- ви маєте обгрунтувати період зберігання даних;
- ви повинні мати політику, яка встановлює стандартні строки зберігання даних;
- ви маєте періодично переглядати дані, та видаляти або анонімізувати їх, якщо вони вам більше не потрібні.
Що робити?
Для дотримання вимог Регламенту, слід розробити Data retention policy та Data retention schedule. Data retention schedule — це документ, в якому ви визначаєте строк зберігання даних. ICO у своїх guidelines рекомендує скласти schedule таким чином:
- категорії даних
- причину зберігання
- період зберігання
Радимо також додати:
- trigger action — момент, коли термін зберігання даних починається (наприклад, строк для зберігання трудового контракту 5 років починається з моменту його підписання. Момент підписання і буде trigger action)
- дія щодо даних в кінці періоду (видалити чи переглянути)
З прикладом Data retention schedule від британського регулятора можна ознайомитись тут
Не тільки GDPR
GDPR не має конкретних положень про те, яким має бути строк зберігання даних. Ви можете знайти необхідну інформацію поза законом про персональні дані.
Наприклад:
- зарплатні відомості у Великобританії зберігаються 6 років,
- трудові контракти у Франції — мінімум 5 років,
- У Швейцарії медичні документи щодо медичного догляду — мінімум 10 років.
- А в Україні медична карта — 25 років,
І жодна із цих норм не зберігається у GDPR або національному законі про персональні дані.
Захист даних
Ми умисно згадали про захист даних під кінець. Якщо коротко, то вам потрібні належні засоби захисту даних. Які засоби належні — для кожного індивідуально. Це залежить від природи даних (до чутливих даних має бути особлива увага), кількості даних, цілей обробки даних.
Вас не оштрафують за те, що хакери взломають вашу базу даних (інакше Facebook давно би збанкрутів). Але, якщо ви ставились до захисту даних недбало, не повідомили користувачів про викрадення даних — вам не уникнути покарання.
Видалення даних за запитом
Це не зовсім тематика цієї статті, але ми не змогли пройти повз такої чудової інфографіки.
Оригінал:
https://www.bankinghub.eu/banking/finance-risk/gdpr-deep-dive-implement-right-forgotten
Висновок
- Зберігання даних — важлива частина комплаєнсу. Тут не можна зробити один раз і забути. Окрім вчасного видалення даних, вам буде потрібна регулярна процедура перегляду даних.
- Будьте скромними у встановленні строків зберігання даних. Е-мейли учасника разової промо-акції вам не потрібен на 10 років.
- На жаль, ставлення до даних інколи недбале. Треба довести до відома ваших працівників — не можна видаляти персональні дані, коли їм заманеться. Не кажучи вже про те, щоб їх постити у фейсбук.
