Ключевые теги

Новости

Реклама

Главная Новости

Как долго могут храниться персональные данные?

Опубликовано: 27.10.2023

Как долго могут храниться персональные данные?

Постановление GDPR о защите персональных данных существенно изменило способ получения и хранения данных о физических лицах.Персональные данные, хранящиеся у предпринимателей, регулируются особыми положениями и правилами. По регламенту они не могут храниться бесконечно.

Хранение данных сведено к минимуму

Положения GDPR вводят определение персональных данных, согласно которому это все данные, идентифицирующие физическое лицо или позволяющие такую ​​идентификацию. Они не ограничиваются именем и фамилией, адресом проживания, номером PESEL или номером удостоверения личности – они также включают имидж, членство в профсоюзе, этническое происхождение и идеологические убеждения. Вопреки распространенному мнению, GDPR защищает не только физических лиц, но и субъекты предпринимательской деятельности, если их данные содержат информацию, касающуюся физических лиц (например, партнерство содержащее в своем наименовании имена партнеров или компании, зарегистрированной по адресу проживания одного из партнеров).

Реклама 39 GDPR (выдержки)

"Вся обработка персональных данных должна быть законной и справедливой. Для физических лиц должно быть прозрачно, что ихперсональные данныесобираются, используются, просматриваются или обрабатываются иным образом и в какой степени этиперсональные данныеобрабатываются или будут обрабатываться. (...) Физические лица должны быть осведомлены о рисках, принципах, гарантиях и правах, связанных с обработкой персональных данных. данные и средства реализации своих прав в связи с такой обработкой. В частности, конкретные цели, для которых обрабатываются персональные данные, должны быть явными, законными и указаны на момент сбора.Персональные данныедолжны быть адекватными, актуальными и ограничиваться тем, что необходимо в отношении целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы срок хранения данных был ограничен строгим минимумом.Персональные данные[( 14505)] следует обрабатывать только в тех случаях, когда цель обработки не может быть разумно достигнута другими способами. Чтобы персональные данные не хранились дольше, чем это необходимо, контролер должен установить крайний срок для их удаления или периодического просмотра. Вы должны принять все разумные меры для обеспечения исправления или удаления неточных персональных данных. (...)"

В изложении регламента GDPR содержатся общие принципы, которыми должны руководствоваться организации, обрабатывающиеперсональные данные. Важнейшим из них является минимальный – предприниматель должен собирать от своих клиентов, сотрудников и подрядчиков только те данные, которые действительно необходимы для достижения цели, для которой они получены (например, выполнение заказа клиента, трудоустройство работника, установление делового сотрудничества с другое существо). Положения GDPR не определяют ни точный объем данных, ни точные методы защиты данных — каждый администратор данных должен самостоятельно решить, какие меры будут наиболее подходящими для его бизнеса, и адаптировать меры безопасности к своим потребностям.

Принцип минимума также распространяется на срок хранения персональных данных. Положения GDPR напрямую не устанавливают точное время, а лишь указывают, что этот период должен быть ограничен «строгом минимумом».

Статья 5(1) 1 буква e Регламента GDPR - Правила обработки персональных данных

"Личные данныедолжны быть:

хранятся в форме, позволяющей идентифицировать субъекта данных, не дольше, чем это необходимо для целей, для которых данные обрабатываются;персональные данныемогут храниться в течение более длительного периода при условии, что они обрабатываются исключительно в целях архивирования в общественных интересах, в целях научных или исторических исследований или в статистических целях в соответствии со ст. 89 раздел 1, при условии, что будут реализованы соответствующие технические и организационные меры, требуемые настоящим Регламентом, для защиты прав и свобод субъектов данных («ограничение хранения»).»

Как долго могут храниться персональные данные?

Указания, содержащиеся в декларативной части регламента GDPR, разъяснены в ст. 5 раздел 1 буква e - в соответствии с вышеупомянутым положениемперсональные данныев значении регламента GDPR (т.е. все данные, относящиеся к физическим лицам) могут храниться только в течение периода, необходимого для выполнения целей, для которых они были собраны. Опять же, как и в случае с объемом данных и мерами по защите данных, регламент GDPR не устанавливает конкретный срок хранения персональных данных и не указывает предел в месяцах или годах — каждый администратор данных должен самостоятельно решить, как долго собранные им данные будут сохранены. Этот период должен быть минимальным — обрабатывающая их организация не может хранить их десятилетиями или даже бесконечно. Контроллер данных не может включать в соглашения или информационные положения информацию о том, что данные будут храниться неопределенное время — такое положение не будет иметь предполагаемой юридической силы. Нарушение правила о принципе ограниченного хранения, особенно если предприниматель не может указать причину слишком длительного периода хранения, может привести к наложению финансового штрафа на контролера данных.

Ярлыки

Управляйте своим бизнесом удобно онлайн!

  • Бухгалтерский учет - Выставление счетов - CRM
  • Управление персоналом и расчет заработной платы интегрированы с eZUS и PUE
  • Простое создание и отправка JPK и деклараций
Создать бесплатный аккаунт

Начните бесплатную 30-дневную пробную версию без каких-либо обязательств!

На определение правильного срока хранения персональных данных влияют и другие факторы – в первую очередь возможные специальные правила (т. е. вытекающие из других актов, например из положений Закона о бухгалтерском учете, относительно минимального срока хранения бухгалтерских книг). В каждом случае предпринимателю следует обратить внимание на положения, вытекающие из Гражданский кодекс О сроке исковой давности по претензиям. В связи с возможным судебным иском данные должны храниться в течение периода, необходимого для истечения срока исковой давности по претензиям их администратора и к администратору данных. Для подавляющего большинства предпринимателей этот срок составит три года.

Пример 1.

Ян Новак управляет интернет-магазином. Для обработки заказов, размещенных клиентами, он получает от них данные, необходимые для завершения транзакции и отправки заказа на их адрес. Он не должен хранить полученные таким образом данные в течение 10 или 15 лет – наиболее подходящим сроком хранения данных в этом случае будут три года с момента исполнения приказа.

Администратор данных должен помнить, что срок хранения данных должен соответствовать мерам защиты, которые предприниматель обязан ввести для обеспечения безопасности данных.

По истечении срока хранения данных администратор обязан их удалить – в данном случае это будет означать их удаление из всех систем и носителей, которые предприниматель использует для их хранения.

Важно!

В соответствии с принципом ограничения хранения контролер данных не может хранить собранные данные бесконечно. Срок хранения данных должен быть адаптирован к целям, для которых они были собраны.

Единственное исключение согласно GDPR касается хранения данных в целях:

В таких случаяхперсональные данныемогут храниться дольше «минимального» периода, хотя информация все равно не должна храниться бесконечно. В то же время контролер данных обязан принять дополнительные технические и организационные меры для обеспечения надлежащего уровня безопасности хранимых данных и защиты прав и свобод заинтересованных лиц.

Внимание!

Если основанием для получения и хранения персональных данных является согласие физического лица, его отзыв приведет к тому, что контролер данных будет обязан удалить данные из своей базы данных, независимо от срока, установленного контролером данных для хранения информации.

Как долго могут храниться персональные данные, собранные до 25 мая 2018 года?

Что касается данных, полученных контроллером данных до 25 мая 2018 года, то есть до даты вступления в силу GDPR, каждый предприниматель должен рассмотреть, были ли они собраны в соответствии с принципами, изложенными в действующих в настоящее время правилах. Если предприниматель получил больше данных, чем необходимо, наиболее подходящим решением будет их удаление. Если владелец данных не дал согласия на сбор и хранение данных, контроллер данных должны обеспечить получение соответствующего согласия или, при необходимости, его обновление. Данные, собранные до истечения указанного выше срока, не должны храниться бесконечно — администратор должен адаптировать срок их хранения к новым правилам.