Glabāšanas ierobežojums pēc Vispārīgās datu aizsardzības regulas (VDAR) 5. panta 1. punkta e) apakšpunkta nosaka, ka personas datus drīkst glabāt formā, kas pieļauj datu subjektu identifikāciju, ne ilgāk, kā nepieciešams nolūkiem, kuriem tie tiek apstrādāti. Praksē tas nozīmē, ka katrai apstrādei jābūt noteiktam glabāšanas termiņam, un pēc tā beigām dati jādzēš vai jāanonimizē. Termiņu nedrīkst izvēlēties patvaļīgi — to nosaka juridiskie pienākumi (grāmatvedība, darba tiesības), noilguma termiņi un reālās biznesa vajadzības. Datu glabāšana “katram gadījumam” bez pamata ir pārkāpums, un Latvijā tas ir izmaksājis reālu naudu: Lursoft lietā par datu glabāšanu ilgāk, nekā atļauts, DVI piemēroja 65 000 EUR sodu. Šajā rakstā izklāstīts, kā noteikt glabāšanas termiņus, kā izveidot dzēšanas grafikus un kā glabāšanas ierobežojums saistās ar pārskatatbildību.
Ko prasa glabāšanas ierobežojuma princips
Princips ir vienkāršs formulējumā, bet prasīgs izpildē: dati jāglabā tikai tik ilgi, cik nepieciešams to sākotnējiem nolūkiem. Kad nolūks ir sasniegts — līgums izpildīts, pakalpojums sniegts, mārketinga kampaņa noslēgta —, apstrādes turpināšanai vairs nav pamata, ja vien nav cita tiesiska iemesla datus saglabāt.
Glabāšanas ierobežojums ir cieši saistīts ar diviem citiem 5. panta principiem: nolūka ierobežojumu (dati vākti konkrētiem nolūkiem) un datu minimizāciju (tikai nepieciešamie dati). Kopā tie veido loģiku: precīzi definēti nolūki nosaka, kādi dati vajadzīgi un cik ilgi tie jāglabā.
Vienīgais izņēmums: arhivēšana, zinātne, statistika
VDAR 5. panta 1. punkta e) apakšpunkts pieļauj ilgāku glabāšanu, ja datus apstrādā tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos saskaņā ar 89. panta 1. punktu, un ar nosacījumu, ka tiek īstenoti atbilstoši aizsardzības pasākumi datu subjekta tiesību aizsardzībai (skatīt arī VDAR 46. apsvērumu). Praksē tas nozīmē, ka dati jāpseidonimizē vai jāanonimizē, ciktāl nolūku var sasniegt bez tiešas identifikācijas.
Kā noteikt glabāšanas termiņus
Glabāšanas termiņu noteikšana ir metodisks process. Katrai apstrādes darbībai jāpiešķir termiņš, balstoties uz trīs iespējamiem avotiem.
1. Juridiskie pienākumi
Daudzus termiņus nosaka likums, un tos nedrīkst saīsināt:
- grāmatvedības un nodokļu dokumenti — Latvijā parasti pieci gadi, atsevišķos gadījumos ilgāk;
- darba tiesību dokumenti — atkarībā no dokumenta veida, tostarp ilgāki termiņi datiem, kas saistīti ar sociālajām garantijām;
- nozaru specifiskie termiņi — piemēram, finanšu, veselības vai elektronisko sakaru jomā.
Šādos gadījumos dati jāglabā līdz likumā noteiktā termiņa beigām un tikai pēc tam jādzēš.
2. Noilguma termiņi
Ja pastāv reāla iespēja tiesiskam strīdam, datus var glabāt līdz attiecīgā prasījuma noilguma termiņa beigām, lai nodrošinātu tiesisku prasību aizstāvību. Termiņam jābūt pamatotam ar konkrētu noilgumu, nevis abstraktu “varbūt kādreiz” argumentu.
3. Biznesa vajadzības
Ja nav ne juridiska pienākuma, ne noilguma pamata, termiņš jānosaka pēc reālās biznesa vajadzības — piemēram, klienta attiecību ilgums plus saprātīgs periods pēc tam. Šeit pārzinim ir rīcības brīvība, bet arī pienākums to pamatot.
Praksē noderīga pieeja ir noteikt katrai kategorijai gan glabāšanas termiņu, gan konkrētu notikumu, kas iedarbina atskaiti — piemēram, “5 gadi pēc pēdējā rēķina” vai “6 mēneši pēc atlases procesa beigām”. Termiņš bez skaidra sākuma punkta praksē nav izpildāms, jo sistēma nezina, no kura brīža skaitīt. Tāpēc dzēšanas grafikā līdzās termiņam vienmēr jānorāda arī notikums, no kura tas sākas — tas ir tas, kas atšķir deklaratīvu politiku no reāli automatizējama procesa.
Dzēšanas un anonimizācijas grafiki
Noteikts termiņš bez izpildes mehānisma ir bezjēdzīgs. Praksē glabāšanas ierobežojumu īsteno ar dzēšanas grafiku — dokumentu vai automatizētu procesu, kas katrai datu kategorijai piešķir termiņu un darbību termiņa beigās (dzēšana vai anonimizācija). Anonimizācija ir alternatīva dzēšanai: ja dati tiek neatgriezeniski anonimizēti tā, ka persona vairs nav identificējama, uz tiem VDAR vairs neattiecas, un tos var izmantot, piemēram, statistikai.
Dzēšanas grafiks jāintegrē sistēmās tā, lai dzēšana notiktu automātiski, nevis būtu atkarīga no manuālas atcerēšanās. Tā ir arī integrētas datu aizsardzības (25. pants) sastāvdaļa — glabāšanas ierobežojums iebūvēts sistēmas dizainā.
Lursoft: kad par ilgu glabāšanu maksā ar sodu
SIA “Lursoft IT” lieta (65 000 EUR sods, lēmums 2020. gadā, publiskots 2021. gada februārī) ir Latvijas etalona piemērs glabāšanas ierobežojuma pārkāpumam. Uzņēmums cita starpā glabāja maksātnespējas datus piecus gadus, kur pieļaujams bija tikai viens gads, un publicēja Uzņēmumu reģistra nepubliskās daļas datus bez tiesiska pamata. Dati, kas vairs nebija nepieciešami sākotnējam nolūkam un tika glabāti krietni ilgāk par atļauto, pārkāpa gan glabāšanas ierobežojumu (5. pants), gan bija saistīti ar tiesībām uz dzēšanu (17. pants). Lieta rāda, ka glabāšanas termiņu neievērošana nav tehniska sīkība, bet patstāvīgs pārkāpums ar būtiskām finansiālām sekām. DVI naudas sodu apmēra noteikšanas kritēriji paredz, ka soda apmēru ietekmē pārkāpuma ilgums — un pārmērīga glabāšana pēc definīcijas ir ilgstoša.
Glabāšanas grafika paraugs pa datu kategorijām
Praksē glabāšanas grafiks visbiežāk tiek veidots kā tabula, kurā katrai datu kategorijai piešķirts termiņš un tā pamatojums. Zemāk — ilustratīvs paraugs, kas jāpielāgo konkrētā uzņēmuma darbībai un aktuālajiem normatīvajiem aktiem:
| Datu kategorija | Indikatīvs termiņš | Pamatojums |
|---|---|---|
| Grāmatvedības un nodokļu dokumenti | 5 gadi | Juridisks pienākums |
| Darba līgumi un personāla lietas | Atkarībā no dokumenta | Darba tiesības, sociālās garantijas |
| Klientu līgumdati | Līguma darbība + noilgums | Tiesisku prasību aizstāvība |
| Mārketinga piekrišanas dati | Līdz piekrišanas atsaukšanai | Piekrišana (7. pants) |
| Kandidātu CV bez atlases | Īss periods pēc atlases | Biznesa vajadzība, piekrišana |
| Videonovērošanas ieraksti | Īss periods | Drošības nolūks, minimizācija |
Konkrētie termiņi jāpārbauda katrā gadījumā, jo tie atkarīgi no nozares un piemērojamajiem likumiem. Grafika vērtība nav pašā tabulā, bet tās sasaistē ar automātisku dzēšanas mehānismu — termiņš bez izpildes ir tikai deklarācija.
Glabāšanas ierobežojums un pārskatatbildība
VDAR 5. panta 2. punkts nosaka pārskatatbildības principu: pārzinim jāspēj pierādīt atbilstība visiem 5. panta 1. punkta principiem, tostarp glabāšanas ierobežojumam. Praksē tas nozīmē, ka glabāšanas termiņi jādokumentē. Galvenais dokuments ir apstrādes darbību reģistrs (ROPA, 30. pants), kurā 30. panta 1. punkta f) apakšpunkts tieši prasa norādīt paredzētos termiņus dažādu datu kategoriju dzēšanai. Reģistrs bez glabāšanas termiņiem ir nepilnīgs.
Glabāšanas termiņi jāatspoguļo arī publiskajā privātuma politikā, lai datu subjekti zinātu, cik ilgi viņu dati tiks glabāti. Kad datu subjekts izmanto piekļuves tiesības (15. pants), viena no obligāti sniedzamajām ziņām ir tieši glabāšanas termiņš vai tā noteikšanas kritēriji. Ja dati tiek nodoti apstrādātājam, glabāšanas un dzēšanas noteikumi jāfiksē arī datu apstrādes līgumā (DPA) — apstrādātājam pēc pakalpojuma beigām dati jādzēš vai jāatgriež. Nacionālos glabāšanas pienākumus atsevišķās jomās papildus nosaka Fizisko personu datu apstrādes likums.
Biežāk uzdotie jautājumi
Cik ilgi drīkst glabāt personas datus?
Tikai tik ilgi, cik nepieciešams sākotnējiem apstrādes nolūkiem. Konkrēto termiņu nosaka juridiskie pienākumi (piemēram, grāmatvedība — parasti pieci gadi), noilguma termiņi vai reālās biznesa vajadzības. Vienota “universāla” termiņa nav — tas jānosaka katrai apstrādei atsevišķi.
Vai datus var glabāt “katram gadījumam”?
Nē. Glabāšana bez konkrēta pamata pārkāpj glabāšanas ierobežojumu. Ja nav ne juridiska pienākuma, ne noilguma iemesla, ne reālas biznesa vajadzības, dati jādzēš vai jāanonimizē.
Kāda ir atšķirība starp dzēšanu un anonimizāciju?
Dzēšana likvidē datus pilnībā. Anonimizācija neatgriezeniski pārveido datus tā, ka persona vairs nav identificējama; pēc pilnīgas anonimizācijas uz datiem VDAR vairs neattiecas, un tos var izmantot, piemēram, statistikai. Pseidonimizācija nav tas pats — pseidonimizēti dati joprojām ir personas dati.
Kur jādokumentē glabāšanas termiņi?
Apstrādes darbību reģistrā (ROPA, 30. pants), kur to tieši prasa 30. panta 1. punkta f) apakšpunkts, kā arī privātuma politikā un apstrādātāju līgumos. Pārskatatbildības princips (5. panta 2. punkts) prasa spēju to pierādīt.
Secinājums
Glabāšanas ierobežojums pēc VDAR 5. panta ir viens no praktiski visgrūtāk izpildāmajiem principiem, jo tas prasa disciplīnu visā datu dzīves ciklā — no termiņa noteikšanas līdz automātiskai dzēšanai. Termiņi jāpamato ar juridiskiem pienākumiem, noilgumiem vai biznesa vajadzībām, jādokumentē reģistrā un jāievieš dzēšanas grafikos. Lursoft 65 000 EUR sods rāda, ka pārmērīga glabāšana ir reāls, sodāms pārkāpums. Praktiskā risinājuma pamatā ir apstrādes reģistrs ar glabāšanas termiņu lauku un automatizēta termiņu kontrole — tieši to nodrošina platforma Legiscope, saglabājot datus ES infrastruktūrā. Sāciet ar termiņu piešķiršanu katrai apstrādei reģistrā — tas ir pamats gan glabāšanas ierobežojuma, gan dzēšanas tiesību izpildei.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial