Lai organizācijas rīcībā esošie personas dati netiktu glabāti nesamērīgu laika posmu un “katram gadījumam”, Datu regulas [1] viens no principiem nosaka, ka organizācijai (pārzinim) ir pienākums ierobežot personas datu glabāšanu ar nolūku (mērķi), lai dati netiktu glabāti ilgāk, nekā nepieciešams šī nolūka sasniegšanai. [2]
Kā noteikt datu glabāšanas termiņu?
Datu glabāšanas ilguma ieviešanā jāņem vērā personas datu apstrādes nolūks. Datu glabāšanas ilgumu var ietekmēt gan normatīvajos aktos noteiktais, gan arī pārziņa paša izvēlētais personas datu apstrādes nolūka sasniegšanas veids. Lai datu glabāšanas ilguma noteikšanā ievērotu konsekvenci, organizācijai, pārskatāmas sistēmas izveides nolūkā, nepieciešams izveidot iekšēju procedūru datu glabāšanas termiņu noteikšanai un šo termiņu ievērošanas uzraudzībai.
Organizācijas datu glabāšanas procedūras aprakstā ir jāievieš vienota metodika un jānosaka vismaz:
- skaidri kritēriji, pēc kuriem organizācija noteiks, ka nolūks ir sasniegts un vai dati nav izmantojami tālāk kādam citam nesaistītam nolūkam;
Piemēram, ja ir sasniegts normatīvajā aktā noteiktais termiņš.
- biežums, kuros datu apstrādes nolūki un to pamatojumi tiks pārskatīti un veikta pārbaude, vai datu apstrāde joprojām ir pamatota; [3]
Piemēram, pārbaudīt normatīvā akta, kas nosaka personas datu glabāšanas pienākuma, aktualitāti.
- kā organizācija saņems signālu, kuriem personas datiem iestājies glabāšanas termiņa beigu laiks.
Piemēram, sistēmiska risinājuma ieviešana, kas informēs, ka dati ir dzēšami.
! Jo precīzāk tiks aprakstīti soļi, jo vieglāk organizācijai būs identificēt periodu, kad datu glabāšana būtu jāpārtrauc.
!! Šādi tiks īstenota pārskatatbildības principa [4] un daļa tehnisko un organizatorisko pasākumu izpilde, un šo pasākumu pilnvērtīga ieviešana savukārt veicina apstrādes drošību. [5]
Glabāšana jāpārtrauc tādiem datiem, kuru glabāšana ir nelikumīga. Līdz ar to datu glabāšanas ilgumu var ietekmēt arī tiesiskā pamata esamība. Zūdot tiesiskajam pamatam, visa datu apstrāde var zaudēt atbilstību un kļūt nelikumīga.
Piemēram, darbinieks atsaucis savu piekrišanu viņa fotogrāfijas publicēšanai iekšējā organizācijas tīklā, tādējādi organizācijai zudis likumiskais pamats darbinieka fotogrāfijas apstrādei un tā ir dzēšama.
Kas darāms, kad datu glabāšanas termiņš ir beidzies?
Kad organizācija ir secinājusi, ka ir jāveic datu dzēšana jāpārliecinās, ka dati tiek izdzēsti pilnībā un tos nav atgūt. To, kā noteikt datu dzēšanas procesus organizācijā skaidro kādā no nākamajiem #DVIskaidro.
Ko vēl ņemt vērā?
- Kad glabāšanas termiņi ir noteikti, organizācijai ir jāinformē arī datu subjekti par šiem termiņiem, tos iekļaujot privātuma politikā, datu apstrādes politikā vai citā dokumentā, ar kuru ir izpildīts pienākums par datu subjektu informēšanu un kurš ir publiski vai pēc pieprasījuma pieejams. [6]
- Organizācijai ir pienākums sniegt informāciju par konkrētās personas datu apstrādi pēc tās pieprasījuma, tai skaitā par laikposmu, cik ilgi dati tiks glabāti, bet, ja tas nav iespējams, tad informēt par kritērijiem, kuri tika ņemti vērā, lai to noteiktu. [7]
- Lai pēc iespējas precīzāk noteiktu datu glabāšanas termiņus, procesa ieviešanā var piesaistīt arī norīkoto datu aizsardzības speciālistu un ņemt vērā tā ieteikumus.
- Datus aizliegts glabāt tikai tādu iemeslu dēļ, ka tie kādreiz nākotnē noderēs.
