Які строки зберігання персональних даних в Україні? У статті викладено правовий висновок, складений щодо допустимих строків обробки (включаючи зберігання) персональних даних за чинним Законом України “Про захист персональних даних”. Висновок містить відповіді на практичні запитання замовника, який у своїй бізнес-діяльності обробляє персональні дані клієнтів – громадян України.

Строки зберігання персональних даних в Україні.

Питання розглянуті у правовому висновку:

1. Чи є згода на обробку персональних даних безстроковою?
2. У разі обробки даних на основі згоди, чи можна обробляти їх до моменту скасування згоди?
3. Які періоди обробки персональних даних вимагаються законодавством України в окремих процесах обробки?
4. Скільки можна / потрібно зберігати персональні дані? Як довго можна обробляти дані для цілей бухгалтерського обліку, для скарг тощо?

Загальні роз’яснення щодо строків зберігання даних за законодавством України:

Стаття 11 Закону України “Про захист персональних даних” (надалі — Закон) передбачає “згоду суб’єкта персональних даних на обробку його персональних даних” як окрему підставу для обробки персональних даних. Загалом, стаття 11 Закону визначає такі підстави обробки даних:

• згода суб’єкта персональних даних на обробку його персональних даних;
• дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
• укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
• захист життєво важливих інтересів суб’єкта персональних даних;
• необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
• необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.

В додаток до “згоди суб’єкта персональних даних на обробку його персональних даних” Закон виокремлює “згоду суб’єкта персональних даних на поширення (передачу) персональних даних”, яка відповідно до статті 14 Закону вимагається для передачі даних у рамках обробки на будь-яких підставах (за виключенням випадків, коли поширення даних прямо передбачено іншими законодавчими актами та лише якщо це необхідно в інтересах національної безпеки, економічного добробуту, прав людини та для проведення Всеукраїнського перепису населення).

Вказану диференціацію та розподіл необхідно враховувати при отриманні згоди суб’єкта даних та визначенні строків обробки персональних даних. Разом з тим, Закон не забороняє при отриманні згоди на обробку даних (як підстави, визначеної статтею 11 Закону) одночасно отримати згоду суб’єкта даних на поширення (передачу) даних.

Так само, як і GDPR Закон не встановлює та не визначає конкретні строки обробки (зберігання) персональних даних. Разом з тим, твердження про те, що обробка може здійснюватися безстроково не є коректним.

Положення статті 6 Закону про мету та строки обробки даних:

• мета обробки персональних даних має бути сформульована у документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних;
• обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки;
• у разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних володілець персональних даних повинен отримати згоду суб’єкта персональних даних на обробку його даних відповідно до зміненої мети;
• персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки;
• склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки;
• обробка персональних даних здійснюється для цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством;
• персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.

Таким чином, Закон передбачає, що незалежно від підстави обробки даних, персональні дані обробляються не довше, ніж це необхідно для законних цілей для яких вони збираються та обробляються.

Чи є згода на обробку даних безстроковою?

Як вбачається з викладеного вище, Закон не визначає конкретних строків обробки (зберігання) даних. Так само, Законом безпосередньо не визначається “строк чинності згоди на обробку даних”. Разом з тим, відповідно до статті 6 Закону персональні дані обробляються не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.

Крім того, у разі обробки даних на підставі згоди, суб’єкт даних може її відкликати. У такому разі, подальша обробка даних може провадитися лише за наявності інших підстав обробки даних (визначених у статті 11 Закону) та виключно у межах, обумовлених такими підставами.

У разі обробки даних на основі згоди, чи можна обробляти їх до моменту скасування згоди?

Так, ураховуючи положення статті 6 Закону, обробка може провадитися до моменту відкликання згоди за умови, що визначена володільцем (контролером за GDPR) мета обробки залишається актуальною та чинною (тобто не вичерпала себе).

Які строки обробки персональних даних вимагаються законодавством України в окремих процесах обробки?

Як вказано вище, Закон не встановлює диференційовані строки. Втім, в окремих випадках строки обробки (зберігання) можуть випливати з положень інших законодавчих актів. Наприклад, щодо кадрового діловодства (в контексті обробки даних найманих працівників), архівної справи, щодо даних, які містяться у податковій звітності та документах первинного бухгалтерського обліку. Для їх встановлення необхідно виходити з вимог конкретних НПА, які і обгрунтовують необхідність зберігання даних для цілей бухгалтерського обліку, податкової звітності, тощо.

Строки зберігання персональних даних в залежності від цілей обробки.

Скільки можна та потрібно зберігати персональні дані? Як довго можна обробляти дані для вирішення можливих скарг клієнтів та претензій контрагентів? У відносинах з контрагентами з України, при визначенні строків зберігання даних контрагентів / клієнтів можна прив’язатися до строків позовної давності (строку протягом якого може бути пред’явлена претензія у рамках правовідносин з контрагентом). За цивільним законодавством України загальний строк позовної давності складає 3 роки (Стаття 257 Цивільного кодексу України). Практика визначення його у якості строку зберігання даних контрагентів є поширеною.

Вказаний строк у 3 роки за законодавством України є релевантним в контексті зберігання даних для цілей розгляду скарг та опосередковано релевантним для цілей розгляду претензій / перевірок органів нагляду і контролю (звісно, в контексті категорій даних, які обумовлені вказаними цілями зберігання).

Рекомендації щодо визначення мети та строків обробки (зберігання) персональних даних за законодавством України:

Ураховуючи положення чинного станом на зараз Закону України “Про захист персональних даних” рекомендуємо формулювати цілі обробки даних максимально широко, але з урахуванням фактичних процесів обробки.

У політиках для клієнтів рекомендуємо зазначати щонайменше наступне: а) дані обробляються (зберігаються) протягом строку, необхідного для реалізації визначених цілей обробки; б) суб’єкт даних може відкликати свою згоду на обробку, у такому разі володілець персональних даних (контролер за GDPR) продовжить подальшу обробку (зберігання) даних виключно за наявності інших законних підстав для обробки та виключно у межах обумовлених такими підставами. Наприклад, в контексті захисту законних інтересів володільця персональних даних (контролера за GDPR), в Україні це буде той самий трирічний строк позовної давності, протягом якого допустимо зберігати дані контрагента.