Data Retention Policy: what is it, and why is it needed?

Data Retention Policy: що це таке та навіщо вона потрібна?

У 2021 році Французький наглядовий орган (CNIL) наклав штраф у розмірі €1,750,000 на компанію SGAM AG2R LA MONDIALE. 

CNIL зазначив у рішенні, що контролер порушив принцип “обмеження зберігання”, опрацьовуючи дані мільйонів користувачів надмірно тривалий період часу. Хоча компанія і визначила періоди зберігання, але вона безпосередньо не імплементувала їх у своїх ІТ-системах. Тому дані користувачів зберігались значно довше, ніж це було передбачено окремим національним законодавством, зокрема страховим і комерційним кодексами. 

Італійці також не відстали від своїх сусідів, і у 2022 році їх наглядовий орган (GDPD) наклав штраф у розмірі 20 мільйонів євро на Clearview AI Inc. У рішенні вказано, що 3.8 мільйонів накладено, зокрема, за порушення декількох пунктів статті 5 Регламенту. GDPD зазначає, що компанія не визначила жодні терміни для зберігання персональних даних, чим і порушила принцип “обмеження зберігання”.

З накладених величезних штрафів і виявлених наглядовими органами порушень, стає зрозуміло, що належне, а головне обмежене у часі, зберігання персональних даних — важлива складова GDPR комплаєнсу.

Про те, як це забезпечити на практиці — далі у статті. 

Принцип “обмеження зберігання”

У статті 5 (е) Регламенту вказано, що персональні дані потрібно зберігати у формі, яка дозволяє ідентифікувати суб’єкта даних, не довше, ніж це необхідно для цілей опрацювання. Власне це і є основний зміст принципу “обмеження зберігання”. 

Якщо персональні дані компанії більше не потрібні, то вона повинна їх або видалити або анонімізувати й зберігати, дотримуючись відповідних технічних і організаційних вимог. На практиці анонімізація доволі складний процес, який вимагає, щоб суб’єкт даних ніколи не міг бути ідентифікований за цим набором даних, а тому GDPR до них застосовуватись не буде. 

Як компаніям забезпечити й показати дотримання принципу “обмеження зберігання”, щоб наглядові органи не мали жодних підстав для накладення штрафу? Ключ схований у детально розробленій та ефективно впровадженій на практиці Data Retention Policy. 

Data Retention Policy: що це таке і з чого складається?

Data Retention Policy або Політика зберігання даних — це затверджений компанією протокол (набір правил і процедур), який серед іншого визначає тривалість зберігання й опрацювання персональних даних. 

Регламент безпосередньо не передбачає такий документ, але це практичний інструмент загальної стратегії менеджменту даних в компанії, який забезпечує дотримання вимог GDPR. 

Наприклад, у 2022 році Французький наглядовий орган (CNIL) наклав на DISCORD INC. штраф у розмірі 800,000 євро. Серед порушень CNIL зазначив, що компанія не мала письмової Політики зберігання даних і продовжувала зберігати дані користувачів, які не входили у програму протягом 3 або й 5 років. 

Політика збереження даних може бути як окремим документом, так і розділом у Privacy Policy (Політиці приватності). 

Data Retention Policy: що це таке та навіщо вона потрібна?

Що обов’язково має передбачати Data Retention Policy? 

  • конкретні періоди зберігання даних;
  • частоту здійснення бекапів;
  • технічні та організаційні правила та вимоги до зберігання даних;
  • способи доступу до даних;
  • гайдлайни для видалення даних чи їх анонімізації;
  • правила у випадку порушення. 

Як визначити, скільки часу зберігати персональні дані? 

Регламент не містить терміни зберігання даних, а лише вимагає, щоб це було не довше, ніж потрібно для цілей опрацювання.  А тому визначити конкретні періоди — це справа рук контролера.

Терміни зберігання персональних даних мають бути індивідуалізовані під кожну категорію даних відповідно до цілі й підстави опрацювання. Визначення однакового терміну для усіх категорій персональних даних вважатиметься порушенням принципу “обмеження зберігання”. Зокрема, у 2020 році Італійський наглядовий орган вирішив, що компанія Tim SpA порушила принцип “обмеження зберігання”, визначивши однаковий період зберігання (6 місяців) для різних цілей та категорій даних. 

Отже, перш за все, компанії потрібно чітко визначити, які категорії персональних даних опрацьовуються. На основі цих категорій потрібно перевірити національне законодавство на предмет визначених строків зберігання даних. 

Де шукати тривалість зберігання даних у національному законодавстві?

  • податкові та фінансові кодекси й закони;
  • трудове законодавство;
  • законодавство про соціальний захист;
  • медичне законодавство;
  • законодавство про захист прав споживачів;
  • закони, які регулюють телекомунікації та інтернет;
  • законодавство у сфері інтелектуальної власності;
  • кримінальний, адміністративний і цивільний кодекси;
  • корпоративне законодавство та інше.

Наприклад, згідно з ірландським Законом про організацію робочого часу 1997, дані щодо працівників мають зберігатись 3 роки. 

Отже, у кожному конкретному випадку закони, в яких потрібно шукати періоди зберігання даних, залежать від категорій персональних даних, які опрацьовує компанія. 

Якщо терміни зберігання для певних категорій даних чи цілей опрацювання відсутні у законодавстві, то компанія має сама визначити доцільний термін зберігання, на основі контрактних зобов’язань або потреб бізнесу. При цьому варто враховувати, що такі терміни мають бути обґрунтованими. 

Наприклад, Фінський наглядовий орган у 2021 наклав штраф на компанію ParkkiPate Oy і зазначив, що дані не можуть зберігатись невизначений термін часу з метою використання контролером у можливих майбутніх судових процесах.

Більше того такі періоди мають бути не тільки встановлені у Політиці та імплементовані, а й доведені до відома суб’єктів даних. Зокрема, про це зазначив Фінський наглядовий орган у вже згаданому рішенні щодо ParkkiPate Oy. Наглядовий орган вказав, що періоди зберігання даних мають бути обмежені і прокомуніковані до суб’єкта персональних даних.

Best Practice Recommendations 

На основі накладених наглядовими органами штрафів, можна виділити такі рекомендації:

  1. компанія повинна мати Data Retention Policy;
  2. у політиці повинні бути чітко передбачені терміни зберігання персональних даних;
  3. терміни зберігання певних категорій даних можуть міститись у національному законодавстві, які мають бути враховані;
  4. терміни зберігання даних мають бути індивідуалізованими та обґрунтованими відповідно до кожної категорії персональних даних, підстав та цілей опрацювання;
  5. такі терміни мають бути повідомлені суб’єктам персональних даних;
  6. Data Retention Policy та, зокрема, терміни зберігання даних, мають бути безпосередньо імплементовані у діяльності та ІТ-системах компанії;
  7. у Політику зберігання даних потрібно також включити положення стосовно бекапів та технічні та організаційні вимоги до зберігання даних.

Отже, Політика зберігання даних — комплексний документ, який є важливим інструментом GDPR комплаєнсу і за умови імплементації на практиці, дієвим підтвердженням дотримання принципу “обмеження зберігання”. 

За детально розробленою та ефективною Політикою зберігання даних звертайтесь до Legal IT Group.

 

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)