Політика зберігання та видалення даних: реалізація процесу на практиці

Зберігання, видалення, анонімізація та архівування даних: як залишатися у комплаєнсі з GDPR.

У цій статті ми розглянемо приклади з практики, складові процесу зберігання та видалення даних та на що варто звернути увагу і як уникнути поширених помилок.

Чому важливо звернути увагу на зберігання та видалення даних?

Зберігання та видалення персональних даних – це чітко встановлені GDPR обов’язки. Стаття 5(1)(e) закріплює принцип обмеження строку зберігання, а стаття 17 GDPR прямо передбачає право субʼєкта даних на видалення (“right to erasure”, або “right to be forgotten”).

Практика показує, що персональні дані, які зберігаються невідомо як та скільки у системах, завжди створюють значні ризики для компаній. Тому важливо розуміти, як дані рухаються в системі, де вони зберігаються та коли їх видаляють. Європейська рада із захисту даних (“EDPB”) у своїх рекомендаціях неодноразово наголошує: компанії мають не просто обіцяти видалення – вони повинні чітко розуміти, коли, як і які дані зникають із системи.

Основні вимоги GDPR

1. Політика зберігання даних та процедури видалення даних

Насамперед, зберігання та видалення – це цілий процес, який має бути описаний у Політиці зберігання даних (Data Retention Policy) та у внутрішніх процедурах компанії. 

Політика зберігання даних визначає чіткі строки зберігання. Внутрішні процедури документують процес зберігання та видалення, зокрема де зберігаються дані, які заходи безпеки вжиті, критерії видалення та хто відповідальний.

Для Політики діє загальне правило: якщо дані більше не потрібні для тієї мети, з якою вони збиралися, тоді настав час попрощатися. У деяких випадках термін встановлюється законом (наприклад, для фінансових документів 7/10 років в залежності від податкових вимог певної країни), а у випадку маркетингової згоди – до моменту відкликання.

Тримати дані довше ніж треба – це одна з найпоширеніших помилок, які штрафуються гдпр.

У квітні 2023 року італійський регулятор Garante оштрафував Benetton Group S.r.l. на €240,000 за надмірне зберігання персональних даних споживачів та їх незаконне використання для маркетингу й профілювання. Компанія зберігала дані майже 250 000 користувачів протягом 10 років, хоча умови політики конфіденційності передбачали 12–24 місяці.

Тай загалом, відсутність самої Політики зберігання даних та процедур уже може призвести до порушень GDPR. 

Наприклад: французький регулятор CNIL оштрафував компанію Discord на 800 000 євро за порушення GDPR, зокрема щодо зберігання та захисту даних користувачів. Одним із ключових порушень була відсутність політики зберігання даних. Було виявлено, що десятки тисяч акаунтів користувачів у Франції не використовувалися роками, а компанія не визначила чітких строків зберігання та правил видалення. Під час розгляду Discord оновив політику та посилив вимоги до паролів, проте штраф залишився в силі.Інший приклад – французький регулятор CNIL оштрафував компанію, що продає меблі, на 120 000 євро за порушення GDPR через відсутність процедур зберігання даних та недотримання запитів на видалення. Під час перевірки було виявлено, що компанія не мала чіткої політики зберігання, персональні дані не видалялися та не архівувалися регулярно, а акаунти користувачів, які просили видалення, просто деактивувалися замість повного видалення (ст. 5(1), 17 GDPR).

2. Інформування користувачів

На практиці для компаній важливо дотримуватись прозорості,  а саме – повідомляти користувачів про обробку їхніх даних, строки зберігання та видалення у Політиці конфіденційності, а також у Політиці зберігання та видалення даних.

Французький регулятор CNIL оштрафував компанію Société PAP на 100 000 євро за порушення GDPR, зокрема за надмірне зберігання даних та недостатню їхню безпеку. Користувачі не отримували повної інформації про терміни зберігання та право подати скаргу (ст. 13 GDPR). Компанія зберігала електронні контракти на суму менше 120€ протягом 10 років, а також понад 2 млн користувацьких акаунтів від 5 до 10 років і 700 тис. акаунтів понад 10 років, що перевищує необхідний термін зберігання (ст. 5(1)(e) GDPR).

3. Реагування на запити субʼєктів даних

Право на видалення є одним із ключових прав суб’єктів даних. Тому компанії мають оперативно реагувати на такі запити, дійсно видаляти дані та підтверджувати користувачеві, що його дані були знищені.

Для цього важливо мати чітко прописану внутрішню процедуру, яка дозволяє працівникам швидко і безпомилково виконувати запити на видалення. Найголовніше – дані потрібно справді видаляти, а не просто архівувати або маркувати як “неактивні”.

Приклади з практики регуляторів показують, що недбале виконання цього обов’язку може призвести до небажаної уваги з боку регулятора, а іноді й до штрафів.

Так, у березні 2021 року шведський регулятор IMY виніс офіційне попередження компанії Rebtel Networks AB за порушення ст. 17 GDPR (право на видалення персональних даних) та ст. 12(3) GDPR (право на точну інформацію про обробку даних). Користувач кілька разів просив видалити свої дані після закриття акаунта, і компанія підтверджувала видалення, але одночасно продовжувала надсилати електронні листи з опитуваннями. IMY встановив, що дані не були видалені без необґрунтованої затримки, а інформація про стан обробки була неточною. Регулятор наголосив, що будь-які запити на видалення персональних даних мають виконуватися своєчасно, а інформація про обробку має бути достовірною та повною.

4. Технічна реалізація процесу

Зберігання даних має бути безпечним, а видалення – повним і незворотним. Це стосується всіх паперових документів, CRM, баз даних, резервних копій та сторонніх сервісів.

Щоб забезпечити належний рівень безпеки та відповідність GDPR, важливо налаштувати процес так, щоб працівники чітко розуміли, як зберігати та видаляти дані у різних системах. Для цього зазвичай використовують:

• автоматизовані скрипти та механізми очищення баз даних, які гарантовано видаляють інформацію.
• організаційні та технічні заходи, наприклад, контроль доступу, багаторівневі права користувачів, шифрування.
• регулярні перевірки резервних копій, щоб старі дані не залишалися доступними.
• логування видалень, яке підтверджує виконання запиту суб’єкта даних.

Такий підхід забезпечує, що дані користувачів дійсно зникають із усіх систем, а компанія виконує свої обов’язки GDPR.

Важливо розуміти: Видалення vs Анонімізація – це не одне й те саме

Видалення – це коли дані повністю знищуються, без можливості їх відновлення. Анонімізація – коли дані очищуються від ідентифікаційних елементів, але можуть залишатися в статистичній чи аналітичній формі. Анонімізовані дані не підпадають під GDPR.

Якщо дані більше не потрібні, але потрібна статистика (наприклад, середній вік клієнтів або відсоток переходів), їх можна анонімізувати. Проте якщо приходить запит на видалення від суб’єкта даних, треба саме видалити персональні дані, а не анонімізувати.

Читати також: Технічні заходи для GDPR compliance. Що саме потрібно робити?

Ще один важливий момент – псевдонімізація не є анонімізацією. Якщо ідентифікатор можна відновити – це псевдонімізація, і такі дані все ще вважаються персональними та підпадають під GDPR. Тому важливо правильно анонімізувати дані.

Приклад з практики:

У справі датський регулятор Datatilsynet виніс офіційне попередження Данській фінансовій наглядовій службі (FSA) за порушення ст. 32(1) GDPR (безпеки даних). Інцидент стався після того, як FSA передала журналісту документи з персональною інформацією. Хоча особисті дані нібито були “видалені”, застосована методика анонімізації виявилася недостатньою: електронні адреси можна було відновити з PDF-документів, і журналіст зміг зв’язатися з інформаторами.Регулятор підкреслив, що контролер повинен застосовувати методи анонімізації, які повністю приховують особисті дані, включно з метаданими, щоб їх не можна було відновити стандартними інструментами.

Архівування – не видалення

Ще одна поширена помилка – думати, що архівування дорівнює видаленню. Архівування означає перенесення даних у окреме місце, де вони не використовуються в активних процесах, але зберігаються. 

EDPB визнає архівування як виняток, який може бути правомірним, якщо виконуються певні умови:

1. Компанія може тимчасово зберігати персональні дані в архіві, якщо дані більше не використовуються для первинної мети, але все ще потрібні для іншої законної мети. Наприклад:

• для виконання юридичного обов’язку (бухгалтерського, податкового);
• для захисту від потенційних претензій (згідно з правилами позовної давності);
• для публічного інтересу або наукових/історичних досліджень.

Важливо! якщо компанія залишає дані “на всякий випадок” або переносить їх у “пасивну” базу без чіткої мети – це не архівування, а незаконне зберігання.

2. Доступ до архіву суворо обмежений. Тільки окремі особи з визначеними повноваженнями можуть переглядати ці дані.
3. Архівовані дані відокремлені від активної системи. Вони не використовуються для маркетингу, профілювання, аналітики чи будь-яких поточних бізнес-процесів.
4. Встановлений строк архівного зберігання. Коли спливає правова підстава (наприклад, 3 роки для можливих претензій), дані мають бути остаточно видалені або анонімізовані.

Приклад дозволеного архівування: Компанія зберігає дані клієнтів протягом періоду дії договору. Після його завершення дані переносяться до архіву лише для цілей захисту від юридичних претензій (наприклад, протягом 3 років – строк позовної давності). Доступ до архіву мають лише юристи компанії. Після закінчення строку дані видаляються.

5. Документування процесу

Навіть якщо ви ретельно дотримуєтесь всіх правил і рекомендацій щодо зберігання та видалення даних, не забувайте фіксувати кожен крок процесу. Це критично для підтвердження дотримання принципу відповідальності, який лежить в основі GDPR. У разі перевірки ви зможете чітко показати, де саме зберігаються дані, які заходи безпеки застосовано, як і чому вони були видалені, а також хто відповідає за цей процес.

Якщо у вас виникають питання чи складнощі при налаштуванні процесів зберігання та видалення даних у ваших системах, ми готові допомогти. Legal IT Group вже багато років працює у сфері захисту даних та має досвід у налаштуванні процесів, розробці політик зберігання даних, внутрішніх процедур видалення та створенні політик інформаційної безпеки для компаній. Звертайтесь – і ми допоможемо організувати процеси так, щоб дані були в безпеці, а ваша компанія відповідала вимогам GDPR.