01/27/2023 | Press release | Distributed by Public on 01/27/2023 06:22
Lai organizācijas rīcībā esošie personas dati netiktu glabāti nesamērīgu laika posmu un "katram gadījumam", Datu regulas [1] viens no principiem nosaka, ka organizācijai (pārzinim) ir pienākums ierobežot personas datu glabāšanu ar nolūku (mērķi), lai dati netiktu glabāti ilgāk, nekā nepieciešams šī nolūka sasniegšanai. [2]
Kā noteikt datu glabāšanas termiņu?
Datu glabāšanas ilguma ieviešanā jāņem vērā personas datu apstrādes nolūks. Datu glabāšanas ilgumu var ietekmēt gan normatīvajos aktos noteiktais, gan arī pārziņa paša izvēlētais personas datu apstrādes nolūka sasniegšanas veids. Lai datu glabāšanas ilguma noteikšanā ievērotu konsekvenci, organizācijai, pārskatāmas sistēmas izveides nolūkā, nepieciešams izveidot iekšēju procedūru datu glabāšanas termiņu noteikšanai un šo termiņu ievērošanas uzraudzībai.
Organizācijas datu glabāšanas procedūras aprakstā ir jāievieš vienota metodika un jānosaka vismaz:
Piemēram, ja ir sasniegts normatīvajā aktā noteiktais termiņš.
Piemēram, pārbaudīt normatīvā akta, kas nosaka personas datu glabāšanas pienākuma, aktualitāti.
Piemēram, sistēmiska risinājuma ieviešana, kas informēs, ka dati ir dzēšami.
! Jo precīzāk tiks aprakstīti soļi, jo vieglāk organizācijai būs identificēt periodu, kad datu glabāšana būtu jāpārtrauc.
!! Šādi tiks īstenota pārskatatbildības principa [4] un daļa tehnisko un organizatorisko pasākumu izpilde, un šo pasākumu pilnvērtīga ieviešana savukārt veicina apstrādes drošību. [5]
Glabāšana jāpārtrauc tādiem datiem, kuru glabāšana ir nelikumīga. Līdz ar to datu glabāšanas ilgumu var ietekmēt arī tiesiskā pamata esamība. Zūdot tiesiskajam pamatam, visa datu apstrāde var zaudēt atbilstību un kļūt nelikumīga.
Piemēram, darbinieks atsaucis savu piekrišanu viņa fotogrāfijas publicēšanai iekšējā organizācijas tīklā, tādējādi organizācijai zudis likumiskais pamats darbinieka fotogrāfijas apstrādei un tā ir dzēšama.
Kas darāms, kad datu glabāšanas termiņš ir beidzies?
Kad organizācija ir secinājusi, ka ir jāveic datu dzēšana jāpārliecinās, ka dati tiek izdzēsti pilnībā un tos nav atgūt. To, kā noteikt datu dzēšanas procesus organizācijā skaidro kādā no nākamajiem #DVIskaidro.
Ko vēl ņemt vērā?
Organizācijai vienmēr ir jāuzņemas atbildība par noteiktajiem termiņiem, jādokumentē un vienmēr jāspēj pamatot, kādēļ termiņš ir tieši tāds un jāievieš pasākumi, lai atkārtoti izvērtējot mērķi, likumisko pamatu un pārskatot datus, glabāšanas termiņu varētu saīsināt vai pagarināt.
Informatīvās atsauces:
[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Pieejama tiešsaistē: https://www.dvi.gov.lv/sites/dvi/files/es_regula_2016_6791.pdf
[2] Datu regulas 5. panta 1. punkta e) apakšpunkts
[3] Lai nodrošinātu, ka personas datus neglabā ilgāk nekā nepieciešams, pārzinim būtu jānosaka termiņi, kad dati ir jādzēš vai periodiski jāpārskata. Datu regulas 39. apsvērums, Datu regulas 5. panta 1. punkta d) apakšpunkts
[4] Datu regulas 5. panta 2. punkts
[5] Datu regulas 32. panta 1. punkts
[6] Saskaņā ar Datu regulas 13. un 14. pantu
[7] Datu regulas 15. panta 1. punkta d) apakšpunkts