As empresas coletam grandes quantidades de dados em suas operações cotidianas, que elas processam, modificam e armazenam. As informações coletadas são utilizadas para gerar lucros, o que pode beneficiar tanto as empresas quanto os consumidores: As empresas podem adaptar seus produtos às preferências dos consumidores, e os consumidores se beneficiam de publicidade personalizada e produtos valiosos.
Mas também fornece às empresas muitos dados de clientes que lhes permitem identificar indivíduos. Para minimizar o poder associado a este conhecimento e proteger os sujeitos dos dados, o legislador fornece não apenas períodos de retenção, mas também períodos de eliminação dentro dos quais dados e informações específicas devem ser destruídos.
Para as empresas, isto significa esforço e diligência porque aqueles que apagam os dados muito cedo ou muito tarde correm o risco de sofrer penalidades sensíveis. Mostraremos qual tipo de dados deve ser apagado e quais períodos de retenção se aplicam neste artigo.
Você precisa de apoio ou tem perguntas sobre o assunto? Nossa equipe é composta por especialistas das áreas de direito de proteção de dados, TI e segurança. Teremos prazer em apoiá-lo na implementação dos regulamentos de proteção de dados. Entre em contato diretamente para uma consulta inicial sem compromisso.
Os fatos mais importantes em resumo
- Os dados devem ser apagados quando o finalidade do processamento de dados é cumprida, o que geralmente se aplica imediatamente. Mas os dados também devem ser apagados se os sujeitos dos dados revogar seu consentimento.
- Há períodos de retenção, especialmente em fiscal ou penal. É explicitamente proibido apagar dados pessoais antes que esses períodos de retenção expirem.
- Toda pessoa interessada pode consentir com o processamento de dados e revogá-lo em a qualquer momento. Isto elimina o direito da empresa de reter os dados, a menos que haja outra base legal.
Períodos de eliminação de acordo com o GDPR
Mesmo antes da introdução do PIBR, existiam regras sobre eliminação. "O direito a ser esquecido" - como o Tribunal Constitucional Federal uma vez colocado - já foi encontrado na lei alemã de proteção de dados antes. No entanto, a GDPR trouxe algumas inovações porque unifica as regulamentações sobre proteção de dados a nível da UE.
De acordo com o GDPR, há duas razões para excluir os dados coletados (Artigo 17 GDPR):
Primeiro, quando os sujeitos dos dados revogam seu consentimento para a coleta e armazenamento de dados e assim solicitar que os dados sejam apagados. Além disso, o sujeito dos dados pode exigir a exclusão dos dados se houver um motivo para a exclusão sob o GDPR. Assim, para que os dados sejam coletados de acordo, é necessário o consentimento das partes relevantes.
Por outro lado, a eliminação deve sempre ocorrer quando o o objetivo de processamento e armazenamento de dados foi cumprido ou deixou de existir (Artigo 5 GDPR). Exemplo: Em uma instituição médica, os dados só podem ser armazenados pelo tempo necessário para tratar os pacientes.
Em alguns casos, no entanto, isto é oposto pelos períodos de retenção estatutária (mais sobre abaixo). Por exemplo, no caso de auditorias de empresas: As faturas pagas e contabilizadas não são mais necessárias para o processamento, mas devem ser retidas para a referida auditoria.
Portanto, o necessidade de armazenamento de dados deve ser conhecido para cumprir os prazos de eliminação. No caso de faturas, por exemplo, não se trata apenas de saber se elas já foram pagas. Em caso de dúvida, há também períodos de garantia ou de garantia que deve ser observado.
Além da necessidade, as empresas também devem estar cientes da períodos de retenção relevantes que podem impedir a eliminação. As empresas também devem sempre ter certeza dos locais de armazenamento e da mídia para que os dados não sejam perdidos e a exclusão possa ocorrer corretamente.
Quais são os períodos de eliminação? Os períodos de eliminação são janelas de tempo específicas após as quais os dados coletados devem ser apagados novamente. Assim, períodos de exclusão para diferentes tipos de dados podem resultar de várias exigências legais, tais como a GDPR e outras leis e normas.
Visão geral dos períodos de eliminação da GDPR
O legislador estipulou que o Os períodos de eliminação também devem ser anotados no registro de atividades de processamento. Isto deve proporcionar uma melhor visão geral e ajudar a manter o cumprimento dos prazos definidos.
Não há uma resposta de tamanho único sobre quando os dados devem ser excluídos. Em direito contratual, por exemplo, é aconselhável ser guiado pelos prazos de prescrição relevantes. O atual estatuto de limitações é 3 anos (§ 195 BGB) e começa a funcionar no final do ano em que a reivindicação surgiu.
Um exemplo: Se uma reclamação surgir em janeiro de 2022, o prazo de prescrição começa a correr em 01.01.2023 e termina em 01.01.2026.
Cuidado: Existem outros estatutos de limitações no Código Civil Alemão - por exemplo, para reclamações em matéria de responsabilidade civil. Aqui, os prazos de prescrição podem se estender até até 30 anos. Portanto, use o estatuto de limitações apenas como uma diretriz e não como um absoluto.
Em caso de dúvida, exceções pode se aplicar. Por exemplo, se o objetivo do processamento ainda não tiver cessado. Isto significa: sob certas circunstâncias, os dados podem ser armazenados por mais tempo, se necessário para a afirmação, exercício ou defesa de reivindicações legais.
Entretanto, isso sempre requer pesando os interesses no caso individual. As empresas devem sempre se perguntar qual será a probabilidade de reivindicações e quais são os interesses das pessoas em causa que se opõem a isso.
Importante: Para provar que a eliminação adequada ocorreu, você deve sempre documentar cuidadosamente as eliminações. Nosso software de proteção de dados ajuda você a criar protocolos.
O que é um conceito de eliminação?
As exigências rigorosas da GDPR e os regulamentos complexos, exceções e casos individuais são desafiadores para realizar e implementar sem um conceito de eliminação. Um conceito de eliminação regula quando e como os dados pessoais coletados em uma empresa devem ser eliminados. Um conceito de eliminação ajuda a definir uma estrutura separada para o processamento de dados que esteja em conformidade com a lei.
O conceito de eliminação está intimamente ligado ao registro das atividades de processamento:
- Primeiro, deve ser determinado onde os dados pessoais são coletados e processados na empresa.
- Além disso, quem é responsável por este processamento de dados deve ser esclarecido.
- Além dos vários sistemas utilizados internamente em uma empresa, é essencial não esquecer de incluir neste registro a coleta e o processamento de dados de prestadores de serviços externos.
- Uma vez criada uma visão geral da totalidade dos dados e do processamento, o diversos Os dados devem ser categorizados. Por exemplo, os dados sobre saúde, religião ou atitudes políticas são categorias diferentes para as quais existem regulamentações diferentes.
- Uma vez encontradas as categorias e atribuídos os conjuntos de dados individuais, devem ser criadas regras de eliminação. Regras de eliminação definir a hora de início dos períodos de eliminação e o período de eliminação para as diferentes categorias de dados. Exceções a isto também pode ser formulado, o que os responsáveis levam em conta durante seu trabalho.
Quais são as penalidades para a eliminação inadequada?
Qualquer pessoa que não apague dados em tempo hábil comete uma violação legal que pode ser punida com um bem. O A faixa de multas é de até 20 milhões de euros ou 4% do faturamento do ano anterior de todo o grupo de empresas, que é o valor usual da UE.
Dicas para eliminação de dados
Há várias dicas que você pode levar a sério em seus negócios para garantir a eliminação legítima:
- O registro das atividades de processamento deve ser completo e incluir obrigatoriamente requisitos de retenção.
- As empresas devem registrar claramente onde estão os dados armazenados e processados para manter o controle dos mesmos.
- Deve haver um diretriz de eliminação interna ou conceito observado dentro das diferentes áreas da empresa.
- Responsáveis pela proteção de dados deve ser capaz de monitor deleções e acesso as áreas necessárias.
- Prazos de eliminação deve ser respeitada.
Com o Módulos de desempenho do Priverion, oferecemos bibliotecas de retenção e eliminação. Isto permite carregar rapidamente os prazos aplicáveis para mais de 150 países. Seus administradores de TI sempre saberão quais prazos de eliminação devem ser verificados, ligando os sistemas. Teremos o maior prazer em explicar como o Plataforma de proteção de dados Priverion facilita a gestão de prazos durante uma consulta de demonstração.
Encomende hoje uma instância de teste
Teste nossa solução
Períodos de retenção de acordo com o GDPR
Após a expiração dos períodos de eliminação, não mais que 6, máximo 12 meses, devem passar antes que os dados sejam apagados. Independentemente disso, entretanto, alguns períodos de retenção complementam ou contradizem os períodos de apagamento geral.
Os períodos de retenção determinam quanto tempo os documentos devem ou podem ser mantidos. Isto significa que os períodos de exclusão podem ser adiados ou prolongados.
É bom saber:
Os períodos de retenção geralmente se aplicam a pessoas que são necessário para manter a contabilidade. Em particular, tradepeople devem cumprir com as obrigações de retenção de impostos (por exemplo, § 147 AO (Alemanha)) ou lei comercial (por exemplo, § 257 HGB 8 (Alemanha). Por outro lado, a lei tributária deve ser cumprida, particulares não são afetados pelos períodos de retenção, mas devem reter documentos, recibos e faturas importantes (documentos comprobatórios) por vários anos.
Quais são os períodos de retenção do GDPR?
A retenção de certos documentos comerciais é obrigatória durante um certo período; isto é regulamentado pelo períodos de retenção. Como no BGB, o período começa com o final do ano civil em que o última entrada foi feito.
Os períodos estipulados podem, portanto, começar sempre a correr novamente se as entradas tiverem sido acrescentadas. Os documentos em questão incluem o seguinte:
- Últimas reservas anteriores
- O inventário
- O balanço de abertura
- As contas anuais
- O relatório de inventário
No caso de cartas comerciais e documentos contábeis, o período começa no final do ano em que eles foram recebidos/enviados, ou criados.
Em relação aos períodos legais, há uma distinção entre 6 e 10 anos de períodos de retenção. Os documentos fiscais, por exemplo, devem ser retidos por 6 anos e as demonstrações financeiras anuais e outros documentos de balanço por 10 anos.
Isto significa que em 2022, aqueles documentos criados ou recebidos por 31 de dezembro de 2015 (6 anos) ou 31 de dezembro de 2011 (10 anos) devem ser destruídos.
PIBR: Todos os períodos de retenção em um relance
Dependendo do documento e do regulamento, os períodos de retenção são diferentes, o que torna a eliminação correta um verdadeiro desafio.
Todos os anos, o Câmara de Comércio e outras instituições compilam listas dos documentos relevantes e os atuais períodos de retenção. Abaixo fornecemos um visão geral dos documentos mais importantes e seus períodos de retenção:
| Documentos de faturamento | 10 anos |
| Declarações de atribuição | 6 anos |
| Seguro para os funcionários | 10 anos |
| Notas fiscais emitidas | 10 anos |
| Certificado de incapacidade para o trabalho | 5 anos |
| Normas de retenção para documentação da empresa EDP | 10 anos |
| Documentos bancários | 10 anos |
| Faturas de custos operacionais | 10 anos |
| Documentos de hospitalidade | 10 anos |
| Vales de contabilidade | 10 anos |
| Documentos de ordem permanente (após a expiração do pedido) | 10 anos |
| Descrições de entrada para a contabilidade informatizada | 10 anos |
| Documentos de exportação | 10 anos |
| Documentos de reembolso de despesas de viagem | 10 anos |
| Relatórios anuais | 10 anos |
| Livros comerciais | 10 anos |
| Principais demonstrações financeiras | 10 anos |
| Demonstrações financeiras com notas | 10 anos |
| Relatórios de caixa | 10 anos |
| Talões de caixa (até onde não há comprovantes de contabilidade) | 6 anos |
| Extratos bancários | 10 anos |
| Contas de entrega | 6 anos |
| Folhas de salários | 10 anos |
| Documentos de aluguel | 10 anos |
| Listas de preços | 6 anos |
| Arquivos de litígio | 10 anos |
| Recibos | 10 anos |
| Correspondência | 6 anos |
| Ordens de pagamento | 10 anos |
| Demonstrações financeiras provisórias | 10 anos |
Períodos de retenção: Implementar a proteção de dados de forma legal
Durante todo o período de retenção, os documentos relevantes devem ser mantidos em um forma legível. Os tipos de documentos individuais devem ser verificados para determinar se e quais períodos de retenção legal se aplicam e quando existem períodos de eliminação correspondentes.
Para este fim, um registro atualizado das atividades de processamento e conceito de eliminação deve ser sempre criado e mantido para manter uma visão geral e garantir uma eliminação adequada e conforme com a lei.
Após o período de retenção ter expirado, pode ser necessária uma maior retenção, e pode haver um finalidade do armazenamento dos dados. Isto não é excluído pelo período de retenção em detalhes. Após os períodos de retenção terem expirado e também não for necessária mais retenção, o começa o período de eliminação de 6 a 12 meses, no máximo.
Aqui há várias maneiras e possibilidades de destruir os dados de uma maneira legalmente segura:
- Eliminação de dados e trituração Os papéis atendem às exigências do GDPR. Entretanto, os dados sensíveis e pessoais devem ser destruídos em um maneira legalmente segura para que nenhuma outra pessoa - interna ou externamente - possa acessar os dados e informações.
- Para este fim, um Norma DIN fornece informações sobre destruição de acordo com a proteção de dados (DIN 66399). Se terceiros externos destruírem dados, ou seja, uma empresa contratada especificamente para este fim, este é um caso de processamento comissionado. De acordo com Artigo 28 do GDPR, há uma obrigação legal de ter um contrato de processamento de pedidos por escrito.
Conclusão
Os períodos de eliminação e retenção são complexo e desafiador de entender. Em caso de dúvida, não há regras claras - a eliminação deve sempre ocorrer em um caso a caso base, por exemplo, se o objetivo do armazenamento não se aplica mais ou os sujeitos dos dados solicitar a exclusão.
Especialmente quando períodos de eliminação e retenção colidir ou sobrepor-se, as coisas podem rapidamente se tornar confusas. É geralmente uma boa idéia para as empresas criar e manter conceitos de eliminação.
A princípio, um conceito de eliminação significa muito trabalho. No entanto, muito disso também pode ser extraído do registro das atividades de processamento se já existir um.
No entanto, a longo prazo, os conceitos de eliminação lançam muita luz sobre a escuridão: eles criam uma visão geral dos dados existentes e seu processamento, atribuem responsabilidades e categorizam os dados e seus períodos de eliminação.
Você tem alguma pergunta sobre a proteção de dados? Nosso pessoal legal e tecnicamente treinado o aconselhará de forma abrangente sobre todas as questões da lei de proteção de dados. Esteja à vontade para entre em contato conosco a qualquer momento.