ОВДП и архивирование почты: От порохового дыма и дымовых завес [Обновление]
Незнание и страх - плохие советчики. Чаще всего они затуманивают взгляд на главное. В последние недели ОВДП (то есть новый общий регламент по защите данных Европейского Союза, вступающий в силу 25 мая 2018 года) поднимает целую тучу пыли.
Безусловно, с вступлением в силу DSGVO в законодательстве о защите данных многое изменится. К сожалению, существует большая путаница в том, что конкретно DSGVO означает для архивации электронных писем. И, к сожалению, участники рынка (как и в конце 2016 года, когда речь шла о введении GoBD) используют незнание многих для продвижения продуктов и услуг с помощью полуправды.
Пороховой дым и дымовые шашки
Говорится о DSGVO или даже о соответствующих DSGVO продуктах, это также все чаще перемещает решения для архивирования электронной почты, такие как Benno MailArchiv, в центр внимания. Если верить повсеместно появляющимся заявлениям, то с 25 мая 2018 года должна быть возможность удалять электронные письма из почтового архива. В конце концов, DSGVO определяет так называемое «право на забвение». И после этого, безусловно, потребуется возможность удаления писем. В конце концов, это предусмотрено законом.
На самом деле, статья 17 DSGVO определяет «право на удаление», также известное как «право на забвение». Там говорится следующее
„Затрагиваемое лицо имеет право требовать от ответственного лица немедленного удаления касающихся его персональных данных, и ответственное лицо обязано немедленно удалить персональные данные, если один из следующих оснований применим: […]“
Далее следуют несколько оснований, при которых необходимо произвести удаление.
Таким образом, всё кажется ясным! GDPR определяет право на забвение. И поэтому данные (в случае архивирования электронной почты, т. е. электронные письма затрагиваемых лиц) должны быть удалены. Точка.
Так, во всяком случае, думает большинство современников. Но действительно ли это так просто?
Ясность вместо туманной информации
К нам постоянно поступают запросы обеспокоенных клиентов и заинтересованных лиц о том, соответствует ли Benno MailArchiv GDPR. Как можно удалить электронные письма в Benno MailArchiv и т. д.
Вся ситуация имеет значительную важность. Чтобы получить здесь настоящую ясность, мы занялись этой темой вместе с экспертами по защите данных и проверенными TÜV специалистами по защите данных компании DSO Datenschutz Osnabrück GmbH. При этом выяснилось интересное:
DSGVO против GoBD
Если бы письма были удалены из почтового архива, это могло бы быть правильным и необходимым в отношении DSGVO. Однако это тогда неизбежно приведет к нарушению GoBD. Архив будет поврежден в своей общей целостности.
Архивирование электронной почты в соответствии со старым законодательством о защите данных (BDSG, действительным до 24.05.2018)
В случае запросов на удаление достаточно, согласно старому (и на данный момент действительному) законодательству о защите данных, установить в Benno MailArchiv фильтр, исключающий из поиска электронные письма с затрагиваемым содержимым. Ни один пользователь не сможет найти письма, заблокированные с помощью фильтра, настроенного в Benno MailArchiv и действующего в масштабах всей системы. Доступ заблокирован навсегда, хотя затронутые письма продолжают храниться в архиве. Общая целостность архива при этом не нарушается.
Архивирование электронной почты в соответствии с новым законодательством о защите данных (DSGVO, действует с 25.05.2018)
Будет ли вышеупомянутая возможность блокировки электронной почты достаточной в будущем (т.е. после GDPR), на сегодняшний день неясно. Так, например, эксперты DSO Datenschutz Osnabrück GmbH сообщили нам, что даже федеральные земельные органы по защите данных Германии из-за неясности ситуации на данный момент не дают никаких обязательных указаний. Все заявления, которые можно получить от этих органов, до сих пор являются частными мнениями сотрудников органов власти, но не официальными заявлениями.
В этой связи в настоящее время по крайней мере представляется возможным, что функция удаления в Benno MailArchiv может стать необходимой. Однако до сих пор необходимость в этом неясна.
Возможно также, что X-сен (т. е. замена релевантных данных на XXX или ***) достаточно, чтобы соответствовать требованиям GDPR. Однако также возможно, что только фактическое удаление является достаточным. Точные сведения об этом, по-видимому, пока еще не известны даже земельным органам по защите данных, и поэтому до сих пор они не предоставляют никаких обязательных разъяснений по этому вопросу.
Влияние GoBD на архивирование электронной почты
Если (как описано выше) вмешиваться в архив электронной почты, удаляя или манипулируя данными, это может быть необходимо в соответствии с GDPR. Однако финансовое управление может, в свою очередь, рассматривать это как нарушение GoBD. Таким образом, архивирование электронной почты (с точки зрения GoBD) будет скомпрометировано.
Понятно ли и как ОДЗ и GoBD приведены здесь в соответствие или как выглядит соответствующая правовая ситуация на сегодняшний день, очевидно неясно. Достоверная информация по нашим сведениям в настоящее время недоступна.
Удалить или не удалить? Вот в чем вопрос.
Если вы затронуты вопросом конкретного удаления почты, решите сами, как вы хотите поступить в этом деле. LWsystems как производитель Benno MailArchiv на данный момент явно не дает никаких рекомендаций.
Применительно к Benno MailArchiv это означает, что мы, конечно же, предложим соответствующую GDPR функцию удаления, если GDPR действительно потребует удаления электронных писем и будет совместим с GoBD. Независимо от этого, возможность блокировки определенных писем с помощью черного списка, безусловно, останется, как и предыдущие возможности удаления, которые могут быть применены в особых случаях.
Проблема противоречивых или не согласующихся правовых оснований, по нашему мнению, возникает не только в отношении GDPR. В этом смысле с GDPR и возможными последствиями в очередной раз поднимается "актуальная" тема, которая вызывает много шума, хотя практика реализации еще не достаточно ясна.
[Обновление 22.11.2018]
Вопрос о том, как GoBD и DSGVO или тема «обязанность хранения» (GoBD) и «удаление писем» (DSGVO) могут быть приведены в соответствие, вновь и вновь приводит к дискуссиям с клиентами и заинтересованными сторонами.
Даже специалисты по защите данных крупных компаний и концернов частично придерживаются различных позиций, как мы смогли установить в разговорах с клиентами и заинтересованными сторонами: в то время как одни придерживаются мнения, что постоянное архивирование (или «не удаление») электронных писем с личными данными покрывается GoBD или GoBD имеет приоритет перед DSGVO, другие исходят из позиции, что не существует правовой основы для постоянного архивирования электронных писем с личными данными, и удаление, следовательно, возможно и должно быть проведено.
По имеющейся у нас информации, однако, пока еще не ясно с юридической точки зрения, можно ли трактовать GoBD в смысле "законного интереса в хранении" таким образом, что удаление не производится, или наоборот, и можно ли удалять электронные письма с персональными данными или необходимо удалять.
Мы будем продолжать следить за этой темой и информировать об этом здесь. Разумеется, мы приведем Benno MailArchiv в соответствие с правовыми рамками, насколько это будет необходимо. На данный момент вопрос об удалении электронных писем, по-видимому, еще не решен окончательно.
Влияние DSGVO на Benno MailArchiv
Поскольку правовая ситуация требует изменений или нововведений в Benno MailArchiv, чтобы обеспечить дальнейшее соблюдение требований GoBD и/или DSGVO, мы будем реализовывать эти изменения в надлежащей форме. Клиенты с действительной подпиской на обслуживание программного обеспечения находятся в безопасности, поскольку они всегда имеют возможность обновить свою установку до последней версии Benno MailArchiv. Таким образом, все возможные изменения и расширения будут доступны им немедленно.
Все сделанные здесь заявления не представляют собой юридическую консультацию, поскольку мы не имеем права и не обладаем необходимой компетенцией для предоставления юридических консультаций.