GDPR: как удалить ненужные данные из “облака”

25 мая вступил в силу новый европейский регламент о защите персональных данных - General Data Protection Regulation (GDPR). Справедливо увидев в нем фундаментальные изменения в применяющихся сегодня подходах, специалисты заранее изучили все возможные, даже самые мелкие аспекты, от содержания соглашений о намерении до рассылки платежных уведомлений. Один аспект, однако, никак не давал им покоя: что делать в случае, если период хранения клиентской информации истек, с учетом оговоренного в GDPR “права на забвение”? Удалить информацию из “облака” просто так не получится.

Постоянный автор издания Accounting WEB Пол Шоулз (PaulScholes) провел обсуждения этой темы с одним из провайдеров облачных решений, по итогам которых выяснилось, что удалить данные нельзя. Получается, чтобы выполнить новые требования о защите персональных данных, придется вручную удалять у себя каждого более неактивного клиента или поставщика, чтобы тем самым скрыть информацию о них.

Впрочем, у некоторых провайдеров предусмотрена возможность “спрятать” или “заархивировать” информацию, но Шоулз отмечает, что даже это не решение проблемы, потому что данные по-прежнему остаются там, а это значит нарушение требований – при условии, если клиент потребует удаления данных. Поэтому без ручного переименования клиентов, стирания адресов, электронных адресов или отправленных ранее счетов в формате PDF не обойтись – полагает он.

Впрочем, решение проблемы грядет. Некоторые провайдеры облачных решений уж начинают выпускать обновления, решающие проблему – среди таких можно назвать Sage Business Cloud, который поддерживает “право на забвение”. Его обновление от 16 мая к одному из приложений позволяет сделать так, чтобы данные по пользователям более не обнаруживались.

Pandle также собирается добавить этот функционал, который удаляет персональные данные, не затрагивая проведенных ранее транзакций – фактически они становятся анонимными. Об этом изданию Accounting WEB сообщил основатель компании Ли Мерфи (Lee Murphy). “По GDPR компании обязаны держать персональные данные лишь столько, сколько это необходимо. HMRC [британская налоговая служба – GAAP.RU] требует от компаний хранить счета на период от шести до семи месяцев, но по истечении этого периода вряд ли найдется хорошая причина продолжать хранить персональные данные старых клиентов… Вот почему в Pandle мы разрабатываем инструмент, позволяющий пользователям удалять детали по своим клиентам и поставщикам без какого-либо негативного эффекта на транзакции, по сути, делая данные по клиентам и поставщикам анонимными”, – приводит его слова британское издание.

Однако в ожидании обновлений от всех выбранных поставщиков облачных вычислений эксперты советуют краткосрочное решение: поменять имя старого клиента на “Oldcustomer_1” и просто удалить вручную все адреса и контактную информацию.