ОВДП и архивирование почты: От порохового дыма и дымовых завес [Обновление]
Незнание и страх — плохие советники. Чаще всего они затуманивают взгляд на главное. За последние недели DSGVO (то есть новый Общий регламент по защите данных Европейского союза, вступивший в силу 25 мая 2018 г.) поднимает целую кучу пыли.
Безусловно, с вступлением в силу DSGVO в законодательстве о защите данных многое изменится. К сожалению, существует большая путаница в том, что конкретно DSGVO означает для архивации электронных писем. И, к сожалению, участники рынка (как и в конце 2016 года, когда речь шла о введении GoBD) используют незнание многих для продвижения продуктов и услуг с помощью полуправды.
Пороховой дым и дымовые шашки
Если говорят о DSGVO или даже соответствующих DSGVO продуктах, то это также всё более активно приводит к решениям для архивирования электронной почты, таких как Benno MailArchiv, в центр внимания наблюдателя. Если верить вездесущим заявлениям, то с 25 мая 2018 года должно быть возможно удалять электронные письма из архива. В конце концов DSGVO определяет так называемое “право на забвение”. И после этого, как раз необходимо, чтобы письма могли быть удалены. В конце концов это, конечно, предусмотрено законом.
На самом деле статья 17 GDPR определяет “право на удаление”, в разговорной речи также называемое “право на забвение”. Так говорится там же
“Субъект данных имеет право потребовать от ответственного лица, чтобы соответствующие персональные данные были немедленно удалены, и ответственный обязан немедленно удалить персональные данные, если соблюдается одна из следующих причин: […]”
Далее следуют несколько оснований, при которых необходимо произвести удаление.
Таким образом, всё кажется ясным! GDPR определяет право на забвение. И поэтому данные (в случае архивирования электронной почты, т. е. электронные письма затрагиваемых лиц) должны быть удалены. Точка.
Так, во всяком случае, думает большинство современников. Но действительно ли это так просто?
Ясность вместо туманной информации
Мы постоянно получаем запросы обеспокоенных клиентов и заинтересованных, является ли Benno MailArchiv соответствующий DSGVO является. Как можно удалить письма в Benno MailArchiv и т.д.
Вся ситуация имеет немалое значение. Чтобы получить здесь реальную ясность, мы совместно с экспертами по защите данных и TÜV-сертифицированными специалистами по защите данных компании DSO Datenschutz Osnabrück GmbH приняты. При этом возникло интересное:
DSGVO против GoBD
Если бы удаляли электронные письма из архива почты, могло бы это в отношении DSGVO правильно и необходимо. Однако это тогда неизбежно нарушение GoBD. Архив будет повреждён удалением в своей целостности.
Архивирование электронной почты в соответствии со старым законодательством о защите данных (BDSG, действительным до 24.05.2018)
В случае запросов на удаление достаточно, согласно старому (и на данный момент действительному) законодательству о защите данных, установить в Benno MailArchiv фильтр, исключающий из поиска электронные письма с затрагиваемым содержимым. Ни один пользователь не сможет найти письма, заблокированные с помощью фильтра, настроенного в Benno MailArchiv и действующего в масштабах всей системы. Доступ заблокирован навсегда, хотя затронутые письма продолжают храниться в архиве. Общая целостность архива при этом не нарушается.
Архивирование электронной почты в соответствии с новым законодательством о защите данных (DSGVO, действует с 25.05.2018)
Будет ли вышеупомянутая возможность блокировки электронной почты достаточной в будущем (т.е. после GDPR), на сегодняшний день неясно. Так, например, эксперты DSO Datenschutz Osnabrück GmbH сообщили нам, что даже федеральные земельные органы по защите данных Германии из-за неясности ситуации на данный момент не дают никаких обязательных указаний. Все заявления, которые можно получить от этих органов, до сих пор являются частными мнениями сотрудников органов власти, но не официальными заявлениями.
В этой связи в настоящее время по крайней мере представляется возможным, что функция удаления в Benno MailArchiv может стать необходимой. Однако до сих пор необходимость в этом неясна.
Возможно также, что X-сен (т. е. замена релевантных данных на XXX или ***) достаточно, чтобы соответствовать требованиям GDPR. Однако также возможно, что только фактическое удаление является достаточным. Точные сведения об этом, по-видимому, пока еще не известны даже земельным органам по защите данных, и поэтому до сих пор они не предоставляют никаких обязательных разъяснений по этому вопросу.
Влияние GoBD на архивирование электронной почты
Если (как описано выше) вмешиваться в архив электронной почты, удаляя или манипулируя данными, это может быть необходимо в соответствии с GDPR. Однако финансовое управление может, в свою очередь, рассматривать это как нарушение GoBD. Таким образом, архивирование электронной почты (с точки зрения GoBD) будет скомпрометировано.
Понятно ли и как ОДЗ и GoBD приведены здесь в соответствие или как выглядит соответствующая правовая ситуация на сегодняшний день, очевидно неясно. Достоверная информация по нашим сведениям в настоящее время недоступна.
Удалить или не удалить? Вот в чем вопрос.
Если вы затронуты вопросом конкретного удаления писем, решайте сами, как действовать в этом вопросе. LWsystems как производитель Benno MailArchiv в данном случае пока явно никакой рекомендацию.
Применительно к Benno MailArchiv это означает, что мы, конечно же, предложим соответствующую GDPR функцию удаления, если GDPR действительно потребует удаления электронных писем и будет совместим с GoBD. Независимо от этого, возможность блокировки определенных писем с помощью черного списка, безусловно, останется, как и предыдущие возможности удаления, которые могут быть применены в особых случаях.
Проблема противоречивых или не согласованных правовых оснований, по нашему мнению, возникает не только в контексте DSGVO. Таким образом, с DSGVO и возможными последствиями снова разгоняется “актуальная” свинья по деревне, поднимая несказанно много пыли, тогда как практика реализации ещё вовсе не достаточно прояснена.
[Обновление 22.11.2018]
Вопрос о том, как GoBD и DSGVO, а именно тема “Aufbewahrungspflicht” (GoBD) и “Löschen von Mails” (DSGVO), могут быть согласованы, постоянно приводит к обсуждениям с клиентами и заинтересованными сторонами.
Даже специалисты по защите данных крупных компаний и корпораций занимают по этому вопросу частично разные позиции, как мы смогли установить в беседах с клиентами и потенциальными клиентами: в то время как одни считают, что постоянное архивирование (bzw. “неудаление”) электронных писем с персональными данными покрывается GoBD или что GoBD имеет приоритет перед DSGVO, другие придерживаются позиции, что нет правовой основы для постоянного архивирования электронных писем с персональными данными, следовательно удаление должно быть возможным и должно осуществляться.
Однако, согласно имеющейся у нас информации, пока не ясно юридически, можно ли трактовать GoBD в смысле “законного интереса к хранению” так, чтобы не удалять, или же необходимо удалять, или же ситуация обратна, и разрешено/обязательно удалять электронные письма с персональными данными.
Мы будем продолжать следить за этой темой и информировать об этом здесь. Разумеется, мы приведем Benno MailArchiv в соответствие с правовыми рамками, насколько это будет необходимо. На данный момент вопрос об удалении электронных писем, по-видимому, еще не решен окончательно.
Влияние DSGVO на Benno MailArchiv
Поскольку правовая ситуация требует изменений или нововведений в Benno MailArchiv, чтобы обеспечить дальнейшее соблюдение требований GoBD и/или DSGVO, мы будем реализовывать эти изменения в надлежащей форме. Клиенты с действительной подпиской на обслуживание программного обеспечения находятся в безопасности, поскольку они всегда имеют возможность обновить свою установку до последней версии Benno MailArchiv. Таким образом, все возможные изменения и расширения будут доступны им немедленно.
Все сделанные здесь заявления не представляют собой юридическую консультацию, поскольку мы не имеем права и не обладаем необходимой компетенцией для предоставления юридических консультаций.