Влияние законов о защите персональных данных на Ваш перечень видов документов с указанием сроков их хранения, часть 2

(Окончание, начало см. http://rusrim.blogspot.com/2022/11/1_0903998872.html )

Приведение перечня в соответствие с законодательством о защите персональных данных

Понимая теперь, что законы и требования в различных юрисдикциях сближаются, Ваша организация может предпринять следующие действия, направленные на то, чтобы обеспечить соответствие Вашего перечня законам о защите персональных данных.

• Обновите свой перечень: Ваш перечень должен отражать особенности деловой деятельности Вашей организации. Это означает, что он должен включать виды документов, которые создаются и сохраняются Вашей организацией, с учётом тех юрисдикций, в которых Вы ведёте деловую деятельность. Кроме того, перечень должен применяться ко всем документам, вне зависимо от вида носителя (т.е. к бумажным и электронным документам).
  
  
• Сроки хранения и сроки уничтожения/передачи: период времени, установленный как срок хранения, также следует рассматривать как срок, по истечении которого проводится уничтожение/передача документов. Срок хранения - это не минимальное время хранения, а время, в течение которого документ хранится, а затем уничтожается/передаётся (такое отношение к срокам хранения характерно для государственных органов в США. В российской традиции – это именно минимальное время хранения, а уничтожение является не обязанностью, а правом организации – Н.Х.).
  
  
• Выделение категорий (видов) документов, содержащих персональные данные. Знание того, какие категории документов содержат персональные данные, поможет организациям определить риски и те цели, в которых сохраняются персональные данные. Организации должны уделять особое внимание данным о потребителях и нефинансовым данным о сотрудниках.
  
  
• Ограничьте сроки хранения персональных данных. Организации должны понять и сформулировать цели (т.е. цели обработки ПДн – Н.Х.), в которых собирается и хранится персональная информация. Такой целью может быть исполнение положений закона или нормативного акта о хранении документов, законную деловая цель или обработку данных на основании согласия физического лица. Как только это будет понято, организациям следует ограничить срок хранения этих документов моментом достижения целей обработки.
  
  
• Выявите и скорректируйте необоснованные сроки хранения персональных данных. Необоснованные сроки хранения могут включать чрезмерно длительные периоды хранения, которые не основаны на законе или же на предоставлении потребителя продукта/услуги. Они также могут включать использование субъективных или трудно определяемых на практике событий-триггеров (от которых начинается отсчёт сроков хранения – Н.Х.), или же сроков хранения, которые являются теоретически правильными, однако нереализуемыми на практике. Организации должны быть в состоянии объяснить причину установления конкретного срока хранения, особенно если соответствующие документы включают персональную информацию или данные.
  
  
• Добавьте в перечень виды документов, относящиеся к защите персональных данных: Пользователи перечня должны иметь возможность найти в нём правила хранения и уничтожения/передачи, применимые к уведомлениям об утечках, согласиям потребителей, запросам субъектов персональных данных и ответам на них, политикам и процедурам обеспечения неприкосновенности частной жизни, а также к видео- и аудиозаписям.

Выводы

В то время, как область охвата законов о защите персональных данных расширяется, а штрафы являются вполне реальными, - действительность такова, что законы о защите персональных данных просто укрепляют основы для создания перечней. Перечни идентифицируют виды создаваемых организацией документов и устанавливают правила хранения и уничтожения/передачи этой информации.

Ни одна организация не должна хранить информацию, которая не имеет сколько-нибудь существенной ценности. Избыточно длительное хранение приводит к более высоким затратам на хранение и судебным издержкам, а также к невозможности найти полезную информацию. Законы о защите персональных данных являются дополнительным стимулом для своевременного уничтожения/передачи информации, в интересах достижения и поддержки основных целей хорошего управления документами и информацией.

Понимая, что именно обычно рассматривается как персональные данные, а также правовые ограничения, связанные с хранением персональных данных, необходимость отвечать на запросы субъектов персональных данных, и области высокого риска штрафов или судебных разбирательств, - организации могут принимать эффективные меры по совершенствованию своих перечней, в полном соответствии с законами о защите данных.

Результатом этого может стать подготовка обновлённого перечня, с тем, чтобы обеспечить отражение в нём фактических документов организации; его применимость в отношении документов на носителях любых типов; выполнение им функций политики хранения и уничтожения/передачи информации; идентификацию документов, содержащих персональные данные и ограничение сроков хранения таких документов; и включение в него видов документов, относящихся к деятельности по исполнению законодательно-нормативных требований по защите персональных данных.

В заключение отметим, что воздействие законов о защите персональных данных проявляется не столько в усложнении перечня, сколько в поддержке и подкреплении перечня и его основной цели.

Литература

1. General Data Protection Regulation. 2016. 2016/679 (EU, April 27). https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

2. DLA Piper. Data Protection Laws of the World. Accessed March 13, 2022. https://www.dlapiperdataprotection.com/

3. Personal Information Protection and Electronic Documents Act (PIPEDA). 2000. S.C. 2000, c. 5 (Senate and House of Commons of Canada, April 13).

4. Consumer Protection Privacy Act. 2020. Bill C-11, Sec. 53n (Canada House of Commons, December 2).

5. California Privacy Rights Act (CPRA). 2023. Cal. Civ. Code § 1798.105 (State of California, Effective January 1, 2023).

6. Colorado Privacy Act. 2023. Colo. Rev. Stat. § 6-1-1308 (State of Colorado, Effective July 2023).

7. Virginia Consumer Data Protection Act. 2023. § 59.1-577 (State of Virginia, Effective January 1, 2023).

8. General Data Protection Regulation. 2016. 2016/679, Art. 4 (EU, April 27).

9. Id., Art. 5(e).

10. California Privacy Rights Act (CPRA). 2023. Cal. Civ. Code § 1798.105 (State of California, Effective January 1, 2023).

11. Brazilian General Data Protection Law (LGPD). 2018. Law No. 13.709, Article 19 (Brazil, August 14).

12. GDPR Enforcement Tracker. Accessed March 3, 2022. https://www.enforcementtracker.com

Том Кори (Tom Corey)

Источник: ARMA Magazine / сайт IGGuru.net
https://magazine.arma.org/2022/04/the-impact-of-data-protection-laws-on-your-records-retention-schedule/
https://igguru.net/2022/10/24/the-article-the-impact-of-data-protection-laws-on-your-records-retention-schedule-gets-award-at-arma-infocon-2022/