(Окончание, начало см. https://rusrim.blogspot.com/2026/05/gdpr-1.html )
Что представляет собой архив с ограниченным доступом
Архив с ограниченным доступом - это не просто папка с более ограниченными правами доступа. Чтобы архив был защитим в случае проверки, он должен быть создан с определенной целью.
Во-первых, цель должна быть узкой и явно сформулированной. Архив не должен без лишнего шума превратиться в ещё одну оперативную систему. Если данные хранятся в архиве, то это должно быть обусловлено конкретными основаниями - нормативно-правовыми, обеспечением доказательств и/или подотчётности.
Во-вторых, доступ должен быть на само деле ограничен. Организация доступа по принципу «необходимости знать» здесь является не возможным «хорошим» вариантом, а частью общей концепции.
В-третьих, должна иметься возможность проводить аудит архива. Если кто-то получает доступ к документу, экспортирует его, изменяет метаданные, накладывает или снимает временный запрет на уничтожение, - это должно быть видно. В противном случае функционирование архива может оказаться непрозрачным именно в тот момент, когда Вам потребуется его защитить.
В-четвертых, должно быть обеспечено соблюдение сроков хранения должно в качестве части жизненного цикла. Одной из наиболее распространенных ошибок является ситуация, когда организация добросовестно архивирует документы, а затем забывает их уничтожить. Это уже не исполнение законодательно-нормативных требований, а просто отложенный риск.
Таки образом, для надлежащим образом организованного архива с ограниченным доступом необходимо, как минимум, следующее:
- Строгие контроль и управление доступом (управление доступом на основе ролей и на основе атрибутов),
- Обеспечение возможности аудита (с экспортом подтверждающих документов),
- Управление сроками хранения по видам документов (экспертиза ценности),
- Поддержка установления и снятия временных запретов на уничтожение,
- Доказательства проведения уничтожения по истечении срока хранения (акт об уничтожении),
- Возможность извлечения необходимых материалов без восстановления устаревших оперативных систем (сохранение контекста).
Как автоматизировать этот процесс, не создавая беспорядка
Цель заключается не в создании «героического» ручного процесса, а в том, чтобы сделать правильный процесс повторяемым.
Разумная отправная точка может выглядеть следующим образом:
1. Определите категории имеющихся у Вас документов
Для каждой категории определите:
- назначение архивных документов,
- правовое основание,
- необходимые для поиска и извлечения метаданные,
- доказательства, которые должны быть сохранены,
- срок хранения и действия по его истечении,
- событие-триггер для уничтожения документов.
2. Архивируйте меньше, а не больше
Если Вам необходимо сохранить доказательства, то архивируйте минимум, необходимый для выполнения этой задачи.
Не каждое поле данных, используемое в оперативной деятельности, должно присутствовать в архиве. Не каждый экземпляр или копия должны сохраниться. Во многих случаях частью решения также может быть псевдонимизация, при условии надлежащего контроля доступа к ключевой информации.
3. Сделайте свой архив доказательно защитимым
Вы может потребоваться возможность доказать, что документы были корректно загружены в систему, сохранены в соответствии с существующей политикой, защищены от несанкционированного вмешательства и удалены именно тогда, когда следовало.
Обычно это означает некую комбинацию следующих сведений:
- манифесты,
- хеши или иные доказательства целостности,
- лог-файлы (протоколы) загрузки и экспорта,
- события, связанные с установлением и отслеживанием сроков хранения,
- доказательства уничтожения.
4. Автоматизируйте действия по окончания срока хранения
В этом вопросе терпят неудачу многие, во всём остальном неплохие подходы.
Архив не является постоянным оправданием для бессрочного хранения персональных данных. Если срок хранения истекает и не осталось применимых исключений [из требований закона GDPR – Н.Х.], то документ должен быть уничтожен, и само это уничтожение должно быть доказуемо.
Если существует подходящее исключение - например, продолжающееся судебное разбирательство или наличие временного запрета на уничтожение, - то его использованием должно явным образом управляться.
Вопрос, который организациям действительно следует задать
Неправильно спрашивать:
Можем ли мы хранить персональные данные после получения требования об их уничтожении [от субъекта ПДн – Н.Х.]?
Более корректным будет вопрос:
Что должно быть выведено из оперативных систем, что может быть сохранено, на каком правовом основании и с использованием каких мер и средств контроля и управления?
Как только вопрос будет поставлен таким образом, архитектура решения станет намного яснее.
С чего начать?
Не начинайте со всех документов сразу. Выберите 3-5 категорий документов и тщательно проработайте их. Для каждой из категорий следует подтвердить:
- что должно быть выведено из оперативных систем,
- что может остаться в качестве заархивированных доказательств,
- почему эти материалы могут остаться,
- в течение какого срока,
- при каких ограничениях доступа,
- и что произойдёт по окончании срока хранения.
Правильно отвечающие на эти вопросы организации – нередко совсем не те, что располагают самыми модными инструментами. Это те организации, что сначала проделали работу по стратегическому управлению.
Ссылки на законодательство
Основные ссылки: статьи 5, 17 и 32, а также пункт 39 преамбулы закона GDPR.
Данный пост не является юридической консультацией. Толкования, исключения и сроки хранения всегда должны быть согласованы с Вашими уполномоченным по защите персональных данных и юрисконсультом, а также с применимыми отраслевыми нормативно-правовыми актами.
Фредерик Россель (Frederik Rosseel)
Источник: сайт LinkedIn
https://www.linkedin.com/pulse/gdpr-right-erasure-delete-what-you-should-from-keep-must-rosseel-2gfdc/
Комментариев нет:
Отправить комментарий