Kiek laiko gali būti saugomi asmens duomenys?

Paslauga.  T

BDAR reglamentas dėl asmens duomenų apsaugos iš esmės pakeitė su fiziniais asmenimis susijusių duomenų gavimo ir saugojimo būdą. Verslininkų turimiems asmens duomenims taikomos specialios taisyklės ir taisyklės. Pagal reglamentą jie negali būti saugomi neribotą laiką.

Duomenų saugojimas yra minimalus

BDAR reglamento nuostatos įveda asmens duomenų apibrėžimą, pagal kurį tai yra visi duomenys, identifikuojantys fizinį asmenį arba įgalinantys jį nustatyti. Jos neapsiriboja tik vardu ir pavarde, adresu, PESEL numeriu ar asmens tapatybės kortelės numeriu – apima ir įvaizdį, narystę profesinėje sąjungoje, etninę kilmę ar pasaulėžiūrinius įsitikinimus. Priešingai populiariems įsitikinimams, BDAR saugo ne tik fizinius asmenis, bet ir verslo subjektus, jei jų duomenyse yra su fiziniais asmenimis susijusios informacijos (pvz., bendrija, kurios vardu nurodomi partnerių vardai, arba įmonė, registruota vieno iš Partneriai).

BDAR 39 konstatuojamoji dalis (ištraukos)
„Bet koks asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Fiziniams asmenims turėtų būti aišku, kad jų asmens duomenys yra renkami, naudojami, su jais konsultuojamasi ar kitaip tvarkomi ir kokia apimtimi šie asmens duomenys yra ar bus tvarkomi...) Asmenys turėtų būti supažindinami su rizika, principais, apsaugos priemonėmis ir teisėmis, susijusiomis su asmens duomenų tvarkymu, ir apie tai, kaip įgyvendinti savo teises, susijusias su tokiu tvarkymu. Asmens duomenys turėtų būti adekvatūs, svarbūs ir apsiriboti tuo, kas būtina tiems tikslams, kuriems jie yra tvarkomi. Tam visų pirma reikia užtikrinti, kad saugojimo laikotarpis būtų kuo trumpesnis. Asmens duomenys turėtų būti tvarkomi tik tais atvejais, kai tvarkymo tikslo negalima pagrįstai pasiekti kitomis priemonėmis saugoti asmens duomenis ilgiau nei būtina, duomenų valdytojas turėtų nustatyti datą, kada jie bus ištrinti arba periodiškai peržiūrėti. Turėtų būti imamasi visų pagrįstų veiksmų, siekiant ištaisyti arba ištrinti netikslius asmens duomenis. (...)"

BDAR reglamento konstatuojamosiose dalyse pateikiami bendrieji principai, kurių turėtų laikytis subjektai, tvarkantys asmens duomenis. Svarbiausias iš jų yra minimumas – verslininkas iš savo klientų, darbuotojų ir rangovų turėtų rinkti tik tuos duomenis, kurie realiai reikalingi tikslui, kuriam jie yra gauti (pvz., kliento užsakymo vykdymas, darbuotojo įdarbinimas, nustatymas). verslo bendradarbiavimas su kitu subjektu). BDAR nuostatos nenurodo tikslios duomenų apimties ar tikslių jų apsaugos būdų – kiekvienas duomenų valdytojas turi savarankiškai nuspręsti, kokios priemonės bus tinkamiausios jo verslui ir pritaikyti saugumą savo poreikiams.

Minimali taisyklė taikoma ir asmens duomenų saugojimo laikotarpiui. BDAR nuostatos tiesiogiai nenurodo tikslaus laiko, tik nurodo, kad šis laikotarpis turėtų būti apribotas iki „griežto minimumo“. 5 straipsnio 1 dalis 1 lit. BDAR reglamento e – Asmens duomenų tvarkymo taisyklės
„Asmens duomenys turi būti:
laikomi tokia forma, kuri leistų nustatyti duomenų subjekto tapatybę ne ilgiau, nei tai būtina tiems tikslams, dėl kurių duomenys tvarkomi; asmens duomenys gali būti saugomi ilgesnį laiką, kol jie tvarkomi tik archyvavimo tikslais visuomenės labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 2007 m. 89 sek. Su sąlyga, kad būtų įgyvendinamos atitinkamos techninės ir organizacinės priemonės, kurių reikalaujama pagal šį reglamentą, siekiant apsaugoti duomenų subjektų teises ir laisves („saugojimo apribojimas“).

Kiek laiko gali būti saugomi asmens duomenys?

Nuorodos, esančios BDAR reglamento konstatuojamosiose dalyse, buvo nurodytos 2005 m. 5 sek. 1 lit. e – pagal nurodytą nuostatą asmens duomenys, kaip apibrėžta BDAR reglamente (t. y. visi su fiziniais asmenimis susiję duomenys) gali būti saugomi tik tiek, kiek būtina siekiant tikslų, dėl kurių jie buvo surinkti. Vėlgi, kaip ir kalbant apie duomenų apimtį ir priemones jiems apsaugoti, BDAR reglamentas nenustato konkretaus asmens duomenų saugojimo laikotarpio ir nenurodo ribos mėnesiais ar metais – kiekvienas duomenų valdytojas turi savarankiškai nuspręsti, kiek laiko. bus saugomi jo surinkti duomenys. Šis laikotarpis turi būti minimalus – procesorius negali jų saugoti dešimtmečius ar net neribotą laiką. Duomenų valdytojas į sutikimus ar informacijos punktus negali įtraukti informacijos, kad duomenys bus saugomi neribotą laiką – tokia sąlyga neturės numatytos teisinės galios. Riboto saugojimo principo nuostatų pažeidimas, ypač tuo atveju, kai verslininkas negalės nurodyti pernelyg ilgo saugojimo termino priežasties, duomenų valdytojui gali būti skirta finansinė nuobauda.

Pradėkite nemokamą 30 dienų bandomąjį laikotarpį be jokių apribojimų!

Asmens duomenų teisingo saugojimo laiko nustatymui įtakos turi ir kiti veiksniai – pirmiausia galimos specialiosios nuostatos (t. y. kylančios iš kitų aktų, pvz., iš Buhalterinės apskaitos įstatymo nuostatų, dėl minimalaus apskaitos knygų saugojimo termino) . Kiekvienu atveju verslininkas turėtų atkreipti dėmesį į Civilinio kodekso nuostatas dėl reikalavimų senaties. Dėl galimų teisminių procesų duomenys turėtų būti saugomi tiek, kiek reikia, kol pasibaigs jų administratoriaus ir duomenų valdytojo reikalavimų senaties terminas. Daugumos verslininkų atveju šis laikotarpis bus treji metai.

1 pavyzdys.

Jan Nowak vadovauja internetinei parduotuvei. Siekdama įvykdyti klientų pateiktus užsakymus, ji gauna iš jų duomenis, reikalingus operacijai užbaigti ir užsakymui išsiųsti jų adresu. Ji neturėtų saugoti tokiu būdu gautų duomenų 10 ar 15 metų – tinkamiausias duomenų saugojimo laikotarpis šiuo atveju būtų treji metai, skaičiuojami nuo sutarties įvykdymo momento.

Duomenų valdytojas turėtų atsiminti, kad duomenų saugojimo laikotarpis turi atitikti apsaugos priemones, kurias verslininkas privalo imtis, kad užtikrintų duomenų saugumą.

Pasibaigus duomenų saugojimo terminui, jų administratorius yra įpareigotas juos ištrinti – šiuo atveju tai reikš pašalinimą iš visų sistemų ir laikmenų, kurias verslininkas naudoja jiems saugoti. Svarbu!
Pagal riboto saugojimo principą duomenų valdytojas surinktų duomenų negali saugoti neribotą laiką. Duomenų saugojimo laikotarpis turėtų būti pritaikytas prie tikslų, dėl kurių jie buvo surinkti.

Vienintelė išimtis, kylanti iš BDAR reglamento, yra susijusi su duomenų saugojimu šiais tikslais:

  • archyvas (tik viešajam interesui);

  • moksliniai ar istoriniai tyrimai;

  • statistiniai.

Tokiais atvejais asmens duomenys gali būti saugomi ilgiau nei „minimalus“ laikotarpis, nors ši informacija vis tiek neturėtų būti saugoma neribotą ar neribotą laiką. Tuo pačiu metu duomenų valdytojas yra įpareigotas numatyti papildomas technines ir organizacines priemones, skirtas užtikrinti tinkamą saugomų duomenų saugumo lygį ir užtikrinti asmenų, su kuriais jie yra susiję, teisių ir laisvių apsaugą. Dėmesio!
Jeigu asmens duomenų rinkimo ir saugojimo pagrindas yra fizinio asmens sutikimas, jį atšaukus, duomenų valdytojas turės ištrinti duomenis iš savo duomenų bazės, neatsižvelgiant į duomenų valdytojo nustatytą informacijos saugojimo laikotarpį.

Kiek laiko gali būti saugomi asmens duomenys, surinkti iki 2018 m. gegužės 25 d.?

Kalbant apie duomenis, duomenų valdytojo gautus iki 2018 m. gegužės 25 d., t. y. iki BDAR įsigaliojimo datos, kiekvienas verslininkas turi apsvarstyti, ar jie buvo surinkti pagal šiuo metu galiojančiuose reglamentuose nustatytas taisykles. Jei verslininkas įgijo daugiau duomenų nei reikia, tinkamiausias sprendimas būtų juos ištrinti. Jei duomenų savininkas nesutiko, kad duomenys būtų renkami ir saugomi, duomenų valdytojas turėtų užtikrinti, kad atitinkamas sutikimas būtų gautas arba galbūt atnaujintas. Duomenys, surinkti iki minėtos datos, neturėtų būti saugomi neribotą laiką – jų saugojimo laikotarpį administratorius turi pritaikyti prie naujų taisyklių.