Legal Support

Які допустимі строки зберігання персональних даних за законодавством України? Протягом якого строку дозволяється обробляти персональні дані? Стаття з відповідями та посиланнями на норми закону.

Строки зберігання даних в Україні

від

LS_NGO
у

Які строки зберігання персональних даних в Україні? У статті викладено правовий висновок, складений щодо допустимих строків обробки (включаючи зберігання) персональних даних за чинним Законом України “Про захист персональних даних”. Висновок містить відповіді на практичні запитання замовника, який у своїй бізнес-діяльності обробляє персональні дані клієнтів – громадян України.

Які допустимі строки зберігання персональних даних за законодавством України? Протягом якого строку дозволяється обробляти персональні дані? Стаття з відповідями та посиланнями на норми закону.
Протягом якого строку дозволяється обробляти персональні дані?

Строки зберігання персональних даних в Україні.

Питання розглянуті у правовому висновку:

  1. Чи є згода на обробку персональних даних безстроковою?
  2. У разі обробки даних на основі згоди, чи можна обробляти їх до моменту скасування згоди?
  3. Які періоди обробки персональних даних вимагаються законодавством України в окремих процесах обробки?
  4. Скільки можна / потрібно зберігати персональні дані? Як довго можна обробляти дані для цілей бухгалтерського обліку, для скарг тощо?

Загальні роз’яснення щодо строків зберігання даних за законодавством України:

Стаття 11 Закону України “Про захист персональних даних” (надалі — Закон) передбачає “згоду суб’єкта персональних даних на обробку його персональних даних” як окрему підставу для обробки персональних даних. Загалом, стаття 11 Закону визначає такі підстави обробки даних:

  • згода суб’єкта персональних даних на обробку його персональних даних;
  • дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
  • укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
  • захист життєво важливих інтересів суб’єкта персональних даних;
  • необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
  • необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.

В додаток до “згоди суб’єкта персональних даних на обробку його персональних даних” Закон виокремлює “згоду суб’єкта персональних даних на поширення (передачу) персональних даних”, яка відповідно до статті 14 Закону вимагається для передачі даних у рамках обробки на будь-яких підставах (за виключенням випадків, коли поширення даних прямо передбачено іншими законодавчими актами та лише якщо це необхідно в інтересах національної безпеки, економічного добробуту, прав людини та для проведення Всеукраїнського перепису населення).

Вказану диференціацію та розподіл необхідно враховувати при отриманні згоди суб’єкта даних та визначенні строків обробки персональних даних. Разом з тим, Закон не забороняє при отриманні згоди на обробку даних (як підстави, визначеної статтею 11 Закону) одночасно отримати згоду суб’єкта даних на поширення (передачу) даних.

Так само, як і GDPR Закон не встановлює та не визначає конкретні строки обробки (зберігання) персональних даних. Разом з тим, твердження про те, що обробка може здійснюватися безстроково не є коректним.

Положення статті 6 Закону про мету та строки обробки даних:

  • мета обробки персональних даних має бути сформульована у документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних;
  • обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки;
  • у разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети;
  • персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки;
  • склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки;
  • обробка персональних даних здійснюється для цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством;
  • персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.

Таким чином, Закон передбачає, що незалежно від підстави обробки даних, персональні дані обробляються не довше, ніж це необхідно для законних цілей для яких вони збираються та обробляються.

Чи є згода на обробку даних безстроковою?

Як вбачається з викладеного вище, Закон не визначає конкретних строків обробки (зберігання) даних. Так само, Законом безпосередньо не визначається “строк чинності згоди на обробку даних”. Разом з тим, відповідно до статті 6 Закону персональні дані обробляються не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.

Крім того, у разі обробки даних на підставі згоди, суб’єкт даних може її відкликати. У такому разі, подальша обробка даних може провадитися лише за наявності інших підстав обробки даних (визначених у статті 11 Закону) та виключно у межах, обумовлених такими підставами.

У разі обробки даних на основі згоди, чи можна обробляти їх до моменту скасування згоди?

Так, ураховуючи положення статті 6 Закону, обробка може провадитися до моменту відкликання згоди за умови, що визначена володільцем (контролером за GDPR) мета обробки залишається актуальною та чинною (тобто не вичерпала себе).

Які строки обробки персональних даних вимагаються законодавством України в окремих процесах обробки?

Як вказано вище, Закон не встановлює диференційовані строки. Втім, в окремих випадках строки обробки (зберігання) можуть випливати з положень інших законодавчих актів. Наприклад, щодо кадрового діловодства (в контексті обробки даних найманих працівників), архівної справи, щодо даних, які містяться у податковій звітності та документах первинного бухгалтерського обліку. Для їх встановлення необхідно виходити з вимог конкретних НПА, які і обгрунтовують необхідність зберігання даних для цілей бухгалтерського обліку, податкової звітності, тощо.

Строки зберігання персональних даних в залежності від цілей обробки.

Скільки можна та потрібно зберігати персональні дані? Як довго можна обробляти дані для вирішення можливих скарг клієнтів та претензій контрагентів? У відносинах з контрагентами з України, при визначенні строків зберігання даних контрагентів / клієнтів можна прив’язатися до строків позовної давності (строку протягом якого може бути пред’явлена претензія у рамках правовідносин з контрагентом). За цивільним законодавством України загальний строк позовної давності складає 3 роки (Стаття 257 Цивільного кодексу України). Практика визначення його у якості строку зберігання даних контрагентів є поширеною.

Вказаний строк у 3 роки за законодавством України є релевантним в контексті зберігання даних для цілей розгляду скарг та опосередковано релевантним для цілей розгляду претензій / перевірок органів нагляду і контролю (звісно, в контексті категорій даних, які обумовлені вказаними цілями зберігання).

Рекомендації щодо визначення мети та строків обробки (зберігання) персональних даних за законодавством України:

Ураховуючи положення чинного станом на зараз Закону України “Про захист персональних даних” рекомендуємо формулювати цілі обробки даних максимально широко, але з урахуванням фактичних процесів обробки.

У політиках для клієнтів рекомендуємо зазначати щонайменше наступне: а) дані обробляються (зберігаються) протягом строку, необхідного для реалізації визначених цілей обробки; б) суб’єкт даних може відкликати свою згоду на обробку, у такому разі володілець персональних даних (контролер за GDPR) продовжить подальшу обробку (зберігання) даних виключно за наявності інших законних підстав для обробки та виключно у межах обумовлених такими підставами. Наприклад, в контексті захисту законних інтересів володільця персональних даних (контролера за GDPR), в Україні це буде той самий трирічний строк позовної давності, протягом якого допустимо зберігати дані контрагента.

Коментарі

17 відповідей до “Строки зберігання даних в Україні”

  1. Digital Privacy

    Interesting article regarding determination of a data retention periods in Ukraine. Thanks!

  2. Sandy

    Тобто у законі про захист даних немає чітких строків які дані і як зберігати?

  3. Запит на проведення аудиту

    Потрібна допомога з проведення аудиту як у нашій компанії обробляються персональні дані та скільки зберігаються. І потрібно визначити строки зберігання всіх даних.

  4. Tamasa

    Дякую за публікацію!

  5. LEGAL SUPPORT

    Доброго дня! Аудити процесів обробки персональних даних проводимо. Строки зберігання окремих категорій персональних даних, у разі відсутності застережень передбачених чинним законодавством, встановлюються відповідно до цілей обробки даних та тим відділом Вашої компанії, який визначив такі цілі обробки. Зі свого боку, можемо надати роз’яснення і поради щодо визначення строків обробки і зберігання персональних даних та допомогти їх мінімізувати. Якщо задача ще актуальна, будь ласка, зв’яжіться з нами за контактами вказаними на сайті.

  6. Оксана

    Дякую за статтю! Підкажіть чи застосовується правила gdpr при зберігання даних польських клієнтів? Інтернет магазин в Україні відкритий на фоп.

  7. Вика

    В каких подзаконных актах искать сроки по хранению данных клиентов?

  8. Микита

    Немає таких, самі маєте визначити скільки зберігати та для чого.

  9. LEGAL SUPPORT

    Абсолютно правильно, ані закони, ані підзаконні НПА прямо не встановлюють скільки Ви маєте зберігати персональні дані Ваших клієнтів. Виходячи з положень ЗУ “Про захист персональних даних”, а так само і з положень європейського законодавства, Ви самостійно маєте визначити які дані (їх категорії), скільки часу та для яких цілей зберігаєте, а також що робите після сплину строку зберігання (видаляєте або анонімізуєте). Зазвичай все це закріплюється у реєстрах операцій з персональними даними або у політиках зберігання. Якщо потрібна допомога зі складанням цих документів, можете звернутися із запитом до наших спеціалістів.

  10. Костя юрист

    Дякую за цікаві публікації. Чому призупинили ведення вашого блогу?

  11. SaintVPN

    Складете нам політику зберігання даних? Це сервіс через веб і додаток для спілкування онлайн, побачень та зустрічей. Не дозвонився на водафон, куда Вам писати? У вайбер?

  12. SaintVPN

    Дякую за зворотній звязок і оперативну допомогу! Звертатимусь і надалі.

  13. Ганна

    По європейським правилам також допомагаєте? Документи для сайту політика сайту і документи по зберігання даних?

  14. LEGAL SUPPORT

    Вітаємо! Так, допоможемо. Будь ласка, напишіть на Вайбер чи Телеграм за номерами, вказаними у розділі контакти.

  15. Sheridan

    Как связаться в Телеграм? Нам требуются внутренние политики по обработке данных, сроках их хранения и порядке анонимизации.

  16. Лєра

    Дякую за проведену консультацію та супровід!

  17. AI developer

    Розробляємо продукт для ринку нерухомості з вбудованим AI чат ботом. Чи пишите прівасі полісі під таке?

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *