Влияние законов о защите персональных данных на Ваш перечень видов документов с указанием сроков их хранения, часть 1

Данная статья директора группы стратегического управления информацией компании HBR Consulting американца Тома Кори (Tom Corey) - профессионального адвоката, также имеющего профессиональные квалификации «сертифицированный специалист по управлению документами» (Certified Records Manager, CRM) и «сертифицированный специалист по обеспечению конфиденциальности информации» (Certified Information Privacy Professional, CIPP / US), была опубликована 18 апреля 2022 года на сайте журнала ARMA Magazine, издаваемого  Международной ассоциацией специалистов по управлению документами и информацией ARMA International. Эта статья 24 октября 2022 года на конференции ARMA InfoCon 2022 была удостоена награды The Britt Literary Award (на фото).

На фото: Том Кори получает награду за свою статью

Крайне важно, чтобы перечень видов документов с указанием сроков их хранения и действий по их истечении (далее – перечень; в российской традиции ту же роль обычно выполняет номенклатура дел – Н.Х.) Вашей организации соответствовал требованиям к защите персональных данных в тех юрисдикциях, в которых ведёт свою деятельность Ваша организация. Эта задача может показаться неподъёмной, поскольку юрисдикции по всему миру принимают новые законы, нормативные акты и требования; в то время, как организации продолжают расширять спектр юрисдикций, в которых они ведут деловую деятельность. Цель данной статьи - снять опасения и страхи перед внутренними и глобальными законами о защите персональных данных и показать, каким образом эти законы и требования согласуются с существующим задачам Вашего перечня и Вашей политики стратегического управления информацией.

Определение и назначение перечня видов документов с указанием сроков их хранения

Перечень является основополагающим документом для деятельности службы управления документами. Он представляет собой политику, которая идентифицирует виды создаваемых и/или сохраняемых организацией документов. Эти документы обычно упорядочиваются путем группировки их по видам деятельности или по структурным подразделениям, а затем описываются или по отдельности, или после группировки в категорию документов. В перечне затем устанавливает срок хранения этих документов. После того, как установленный срок хранения истёк, документ уничтожается либо передаётся на архивное хранение.

Помимо соблюдения законодательно-нормативных требований в отношении сроков хранения документов, перечень также учитывает потребность организации в сохранении ценной информации и в уничтожении не имеющих существенной ценности документов. Поступая таким образом, организация сохраняет необходимую деловую информацию, одновременно экономя деньги и ресурсы посредством избавления от ненужной информации, дальнейшее хранение которой в противном случае привело бы к увеличению затрат на хранение, миграцию данных и на ведение судебных разбирательств (имеется в виду увеличение затрат в рамках э-раскрытия – существующей в англосаксонских странах практики обязательного раскрытия перед противной стороной всей относящейся к делу информации – Н.Х.).

Введение в законы о защите персональных данных

Законы, нормативные акты и правила защиты персональных данных регулируют сбор, использование, передачу и хранение личной и высокочувствительной информации. Требования по защите персональных данных могут устанавливаться как федеральными, региональными (провинциальными – в США это штаты – Н.Х.), так и местными органами власти. В некоторых случаях законы или требования, выпускаемые регулирующими органами или неправительственными деловыми ассоциациями, адресованы конкретным отраслям экономики.

Страны и организации в рамках Европейского союза (ЕС) обязаны соблюдать требования «Общих правил защиты персональных данных» (General Data Protection Regulation, GDPR – это закон прямого действия – Н.Х.) [1]. Многие страны за пределами Евросоюза создали и внедрили свои собственные законы о защите персональных данных, аналогичные GDPR [2]. Например, закон о защите персональных данных действует в Канаде [3], и в настоящее время рассматривается новый закон о защите персональных данных, устанавливающий даже больше ограничений на хранение и использование персональных данных, чем GDPR [4].

В Соединенных Штатах нет федерального закона о защите персональных данных, который бы защищал всех потребителей. В некоторых секторах, таких как банковское дело, финансовые услуги, здравоохранение и страхование, действуют собственные требования в отношении защиты персональных данных и неприкосновенности частной жизни. Совсем недавно правительства штатов США начали вводить законы о защите персональных данных, соответствующие глобальным требованиям или аналогичные им. В число этих штатов входят Калифорния [5], Колорадо [6] и Вирджинию [7], в то время как в ряде других штатов рассматриваются аналогичные законопроекты.

Понимание перемен

Поначалу может показаться, что во всех этих законах, нормативных актах и правилах невозможно разобраться. Существует много законов о защите данных, и они, судя по всему, изменяются быстрыми темпами. Однако законы и требования сближаются друг с другом в плане подходов и требований, работая в интересах достижения той же конечной цели, что стоит перед перечнем -  сохранять имеющие ценность документы и избавляться от информации, не имеющей вовсе либо имеющей небольшую ценность.

Что касается перечней, то организации могут обратить внимание на четыре конкретные области. Данные области являются довольно близкими и согласованными в разных юрисдикциях и в различных законах. Эти четыре области следующие:

• Определение «персональных данных». Персональные данные обычно определяются как «любая информация, относящаяся к физическому лицу, которое идентифицировано или может быть идентифицировано». [8] Это определение из закона GDPR, и другие страны используют аналогичные широкие определения понятия «персональные данные».
  
  
• Ограниченный срок хранения персональных данных. Одной из целей законов о защите персональных данных является ограничение времени хранения таких данных. Хотя лишь немногие страны дают конкретные рекомендации по срокам хранения, в большинство законов говорится, что персональные данные должны храниться «не дольше, чем это необходимо». [9]
  
  
• Запросы субъектов персональных данных. Физические лица имеют право знать, какую их персональную информацию хранит организация, и они имеют право требовать удаления этих данных, за исключением тех случаев, когда для дальнейшего хранения этой информации имеются законные основания. Запрос субъекта персональных данных - это действие физического лица по реализации данного права, и организация обязана дать ответ на такой запрос [10] [11].
  
  
• Обеспечения исполнения законов: Внимание контролирующих органов в основном было сосредоточено на данных о потребителях и нефинансовых данных о сотрудниках (таких, например, как автобиографии, личные дела, записи видео/аудиозвонков). Типичные ситуации, в которых организации подвергались штрафам или же когда против них подавались судебные иски, были связаны с политиками, которых либо отсутствовали, либо устарели, либо не применялись; с нежелательным маркетингом на основе персональных данных; с ненадлежащим использование камер наблюдения; с отсутствием надлежащего реагирования на запросы субъекта персональных данных; и с неадекватным реагированием на утечки, затрагивающие персональные данные. [12]

(Окончание следует, см. http://rusrim.blogspot.com/2022/11/2_044725571.html )

Том Кори (Tom Corey)

Источник: ARMA Magazine / сайт IGGuru.net
https://magazine.arma.org/2022/04/the-impact-of-data-protection-laws-on-your-records-retention-schedule/
https://igguru.net/2022/10/24/the-article-the-impact-of-data-protection-laws-on-your-records-retention-schedule-gets-award-at-arma-infocon-2022/