пятница, 6 января 2017 г.

Сроки хранения персональных данных согласно европейскому законодательству о защите персональных данных GDPR


Данная заметка работающего в Великобритании румынского специалиста Лючии Стефан (Lucia Stefan – на фото), в настоящее время – владельца компании Archiva Ltd, была опубликована 19 декабря 2016 года в социальной сети LinkedIn.

Просматривая недавно опубликованное 280-страничное руководство по практическому исполнению европейского законодательства о защите персональных данных (General Data Protection Regulation, GDPR), я была потрясена, обнаружив, что очень важный элемент GDPR был выхолощен авторами этого документа. Цитирую в точности, как это сказано в   тексте: «Говоря по-простому: если данные Вам больше не нужны, избавьтесь от них», а затем «... достаточно просто определить, когда данные больше не требуются».

Достаточно просто определить, когда данные больше не требуются, и избавиться от них?! В самом деле?

«Постоянство памяти», Сальвадор Дали, 1931

Подозреваю, что авторы руководства никогда не работали в реальном проекте, устанавливая, например, соответствующие британскому Закону о защите персональных данных (Data Protection Act 1998, DPA) сроки хранения для персональных данных, собранных финансовыми учреждениями (страховыми компаниями и банками).  Иначе они бы знали, что установление даты, после которой персональные данные больше не требуются, уж никак не является простой задачей, а уничтожению препятствуют ограничения, связанные с особенностями технологий.

По сравнению с британским Законом о защите персональных данных (DPA), закон Евросоюза об общих требованиях к защите персональных данных (GDPR)  мало что меняет с точки зрения сроков хранения. 5-й принцип DPA стал пунктом (е) статьи 5 GDPR, согласно которому  «... (данные) хранятся в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, в которых обрабатываются персональные данные» (см. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN ).  Обязательный минимальный срок хранения также упоминается в правиле 39 и статье 25. В обоих случаях сказано, что период, в течение которого можно хранить персональные данные, должен быть «сведён к строгому минимуму», и что системы по умолчанию должны проектироваться таким образом, чтобы минимизировать срок хранения персональных данных. На деле это  строгий минимум фактически становится максимальным сроком хранения, допускаемым в отношении персональных данных.

Но это еще не все. В GDPR вводится принцип подотчетности, в соответствии с которым организации обязаны документировать процессы управления персональными данными на протяжении всего их жизненного цикла, от создания до уничтожения. Документация принимает форму политик, процессов, перечней и указаний по срокам хранения и действиям по их истечении, а также других важных документов. Для регламентации хранения требуется не только указать срок хранения и меры по уничтожению, но и обосновать каждое принятое решение о сроках хранения и порядке уничтожения. Контролирующий орган - Управления уполномоченного по информации (Information Commissioner's Office, ICO) очень ясно даёт понять, что вся эта документация необходима для аудита и расследований: «Вам может быть предъявлено требование о представлении этих документов соответствующему надзорному органу для целей расследования» (см. https://ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/accountability-and-governance/ ).

Возвращаясь к срокам хранения, следует отметить, что принятие решения о максимальном сроке хранения – непростое дело. Сроки хранения персональных данных определяются не одним только законом GDPR, существуют и иные законы и нормативные акты  (например, налоговое и финансовое законодательство, другие специфические отраслевые нормы), которые необходимо принять во внимание при установлении соответствующих требованиям GDPR сроков хранения. Бывают ситуации, когда есть ряд заинтересованных сторон с различными потребностями в плане хранения информации в соответствии с законодательно-нормативными требованиями, имея в виду, что персональные данные попадают в контракты, финансовые, кадровые документы, в документы, отражающие деловые транзакции, а также во многие другие. Сроки хранения персональных данных будут установлены по итогам переговоров с этими заинтересованными сторонами. Целью таких переговоров является подбор срока хранения, который соответствует всем применимым законам и нормативных актам. Закон GDPR позволяет организациям решать, сколь долго им нужны персональные данные, при условии, что соответствующие решения являются обоснованными и надлежащим образом задокументированы.

Реализация на практике указаний по срокам хранения персональных данных и выполнение мер по их уничтожению оказывается ещё сложнее. Два фактора препятствуют этой работе:
  • Информационная архитектура. В основе большинства наборов данных и материалов / документов / контента коммерческой организации лежат данные о клиентах / пользователях, что требует исполнения требований закона GDPR. Корпоративная архитектура является сложной, так что найти все объекты персональных данных во взаимосвязанных информационных системах трудно, это требует немало времени и ресурсов. Ошибки при вводе и дублирование данных также могут помешать проведению полного уничтожения персональных данных (поскольку не будут уничтожены все копии).

  • Технологии. Большинство информационных систем (за исключением некоторых ECM-систем с модулями управления документами, и Microsoft SharePoint) не имеют встроенной технологии, обеспечивающей установление и отслеживание сроков хранения, а затем уничтожение данных по истечении этого срока. Наибольшее беспокойство вызывают базы и хранилища данных, которые необходимо специально спроектировать и настроить, чтобы обеспечить полное необратимое уничтожение персональных данных в конце их срока хранения. Насколько мне известно, в целом современные технологии не отвечают требованиям GDPR.
Вывод

Закон GDPR затрагивает не только информационную безопасности и соответствие стандарту ISO 27001, он также касается управления жизненным циклом персональных данных и наличия поддерживающих такое управление технологий. Спросите об этом специалиста по управлению документами!

Лючия Стефан (Lucia Stefan)

Источник: LinkedIn
https://www.linkedin.com/pulse/unacceptable-omission-gdpr-implementation-guides-data-stefan-mphil-?trk=hp-feed-article-title-publish

Комментариев нет:

Отправить комментарий