Adattárolás és törlés a GDPR szerint, gyakorlati megközelítésben

A személyes adatok tárolásának szabályozása, illetve az ilyen adatok korlátozott tárolhatósága az európai adatvédelmi jog lényeges, alapelvi szintű követelménye. Ez azt jelenti, hogy az adatok tárolását csak olyan formában lehet végezni, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé, melyet „korlátozott tárolhatóság” elveként nevesít az EU általános adatvédelmi rendelete („GDPR”).

Az adatvédelmi hatósági gyakorlat jellemzően az adatkezelési tevékenységek (GDPR 30. cikke) mentén várja el az egyes adatkezelési célok és ezen keresztül az adatkezelő részéről az alkalmazandó adattárolási idők azonosítását. Ez nem feltétlenül van összhangban az egyes adatkezelést ténylegesen végző, egymással különböző módokon összekapcsolt és integrált rendszerek architekturális tervezési, kialakítási és üzemeltetési logikájával. Ennek elsődleges indoka, hogy az adatkezelést ténylegesen végző informatikai rendszerek jellemzően „organikus”, belső vállalati fejlődésen mennek át és a nagyvállalati rendszerek késésekkel képesek csak a jelentősebb technológiai változásokat lekövetni. Emiatt előfordul, hogy bemerevedhetnek a különféle rendszerekben lévő adatszerkezetek, vagy éppen ellenkezőleg az integráltság magas foka, illetve az analitikai műveletekhez szükséges adatmennyiség miatt pedig az egyes adatok és azok metaadatai több példányban, a teljes vállalati informatikai ökoszisztémában (ideértve a külső partnereket, szolgáltatókat is) szétszórva jelennek meg, nem beszélve a fizikai adathordozókon vagy akár papír alapon is elérhető adatokról.

A GDPR szabályozása az adatok tárolásával összefüggésben alapelvi követelményeket úgy konkretizálja, hogy (i) dokumentációs kötelezettségeket ír elő a tárolási időtartamokról és az adatok törléséről, (ii) tájékoztatási és értesítési kötelezettséget tesz kötelezővé a személyes adatok tárolásáról és törléséről (GDPR 12-14. cikkei), (iii) kockázatarányos technikai és szervezési intézkedések alkalmazását követeli meg az adattárolás és -törlés tekintetében (GDPR 24. cikk (1))( (iv) rendszeres (GDPR 5. cikk (1)(e), 5. cikk (2)), illetve eseti, kérelemre történő törlésre vonatkozó kötelezettségeket rögzít (GDPR 17. cikk); továbbá azt is megköveteli, hogy (v) az adatkezelő az adatok tárolásával és törlésével kapcsolatos intézkedéseit beépített és alapértelmezett adatvédelem elveivel összhangban, hatékonyan kikényszerítse, illetve azok végrehajtását felügyelje, (GDPR 25. cikk) (vi) ezen intézkedéseket esetileg vagy rendszeresen felülvizsgálja és hatékonyságukat javítsa (GDPR 24. cikk (3) bek).

Felmerül emiatt a kérdés, hogy milyen módon biztosítható a fenti követelmények teljesítése, amely a hatósági jogérvényesítés középpontjában is áll. Így a GDPR alkalmazandóvá válása óta egyik legmagasabb adatvédelmi bírságot, 14,5 millió eurót, egy a berlini adatvédelmi ombudsmann által csak „adattemető”-ként aposztrofált ingatlancég kapta a berlini adatvédelmi hatóságtól , mivel a társaság informatikai rendszerei nem voltak alkalmasak a személyes adatok törlésére.

Szervezési és technikai megközelítésben a személyes adatok tárolását és törlését alapvetően az adatkezelési életciklussal érdemes összhangban kezelni, így megkülönböztetve (i) az adatok gyűjtésének, (ii) az adatok aktív kezelésének (összekapcsolásának, kombinálásának, közzétételének vagy más rendszerekbe való migrálásának), (iii) az adatok passzív tárolásának (archiválás), végül (iv) az adatok megsemmisítésének, selejtezésének / törlésének szakaszait. Ezen gyakorlati megközelítés mentén a francia adatvédelmi hatóság 2020. júliusában gyakorlati útmutatót („Útmutató”) tett közzé a személyes adatok tárolásának és törlésének gyakorlati implementálásáról. Az Útmutató az adatkezelési életciklus mentén különböztet meg ún. aktív kezelési időszakot („l’utilisation courante (« base active »)”), közbenső archiválási időszakot („l’archivage intermédiaire”), illetőleg külön jogszabályban meghatározott közintézmények számára kizárólag közérdekből történő végső archiválást („l’archivage définitif”). Az Útmutató szerint az adatkezelőnek megfelelő intézkedéseket kell hoznia annak érdekében, hogy ezen adatkezelési életciklus-szakaszokban is érvényesítse a korlátozott tárolhatóság elvét, amely érdekében az Útmutató (i) belső adattárolási kötelezettségek forrását és ezek dokumentálását, (ii) külső adattárolási kötelezettségek forrásait, illetve ezekkel összefüggésben (iii) belső eljárásrendek kialakítását és alkalmazását rögzíti.

Az aktív kezelési időszakban az adat napi használatban van a kapcsolódó adatkezelési célok elérése érdekében, míg a közbenső archiválás időszakában már nem a napi munkafolyamatok miatt szükséges az adatok kezelése, hanem az adatkezelő későbbi, akár csak esetlegesen bekövetkező, jellemzően adminisztratív vagy stratégiai céljai miatt, például várható bírósági vagy hatóságok eljárások vagy egyéb jogszabályi kötelezettségek teljesítése miatt. Kiemeli az Útmutató, hogy nem minden adat jut el a közbenső archiválás szakaszáig, hanem ezt minden esetben, esetről-esetre kell mérlegelnie az adatkezelőnek, hogy szükséges-e tovább kezelni az adatokat (például az adatkezelő szempontjából stratégiai jelentőségű felsővezetői döntések dokumentációját szükséges megőrizni, és így a levelezések milyen módon őrizhetők meg, hogyan lehetséges ezeket archiválni). Az egyes adatokat és metaadatakat [és jelen esetben nem csak személyes adatokat] jellemzően pedig azért is szükséges tárolni, mert azok valamely belső adatkezelési rendszer működéséhez szükségesek (pl. konfigurációs beállítások, tanuló algoritmus értékbeállításai, szabályrendszerek stb.). Azonban rendszerint előfordul, hogy ezen adatok egyszerre minősülnek személyes adatnak is. Az adatkezelőknek így előzetesen azonosítania kell azon forrásokat, jogszabályokat, normatív előírásokat, amelyek az egyes adatok tárolását írják elő vagy teszik számára lehetővé a legrövidebb, vagy a leghosszabb ideig. Ha nem létezik ilyen előírás, úgy az Útmutató szerint magának az adatkezelőnek kell ezen szükséges adattárolási időket meghatároznia, amellyel kapcsolatban kiemelendő az Európai adatvédelmi biztos szükségességi és arányossági eszköztára.

Transzparencia követelmények az adatok tárolásával kapcsolatosan
A személyes adatok tárolásával kapcsolatosan az egyik kiinduló rendelkezés az átláthatóság alapelve, amely megköveteli azt az adatkezelőtől, hogy az érintett részére a személyes adatok kezelésére, és így az adatok tárolási idejére vonatkozó tájékoztatásokat tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa (GDPR 12. cikk (1) bek.), ami az információ strukturálásával, hozzáférhetőségével és érthetőségével kapcsolatos átláthatósági kötelezettségek teljesítését teszi szükségessé. Ezeket a tájékoztatásokat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Ezen összefüggésben tehát az adatkezelő kötelezettsége a szükséges tájékoztatások megadása előtt azonosítania az alkalmazandó adattárolási időket, illetve azon személyek körét, akik meghatározott célokból kezelik a személyes adatokat.

Dokumentációs kötelezettségek és belső adattárolást rögzítő források
A belső, adattárolást rögzítő források kiinduló dokumentuma a GDPR 30. cikke szerinti adatkezelési tevékenységek nyilvántartása, amely valamennyi adatkezelő és adatfeldolgozó számára kötelező dokumentum.

Az Útmutató szerint ezen felül szükséges továbbá egy adatelem nyilvántartási és adattárolási mátrix kialakítása. Ez egy olyan referencia dokumentum (pl. egy Excel táblázat), amely az egyes adathordozókat, adatelemeket rögzíti és hozzájuk rendeli a különböző megjelenési formájukban (pl. papír alapú vagy nem strukturált elektronikus adatok) egyes adatkezelési életciklusban érvényes tárolási időtartamokat és ezen időtartamok elteltét követő javasolt tevékenységet (pl. döntés a selejtezésről, tovább tárolásról stb.). Ezen mátrix elkészítéséhez az Útmutató szerint mérlegelni kell, hogy (i) az adott adatelem (dokumentum) tartalmaz-e személyes adatot, ha igen, akkor (ii) milyen adatkezelési tevékenységhez, folyamathoz kapcsolódik, (iii) mi a célja ennek a tevékenységnek, (iv) milyen szempontokat szükséges mérlegelni az adattárolás hosszával kapcsolatban (pl. szabályozói követelmények, különleges adatok köre, többszörös minősítésű adatkörök stb.), (v) szükséges lehet-e közérdekű, tudományos vagy statisztikai archiválás? Ezen mátrixot időről-időre, praktikusan az adatkezelési tevékenységek nyilvántartásával párhuzamosan szükséges felülvizsgálni.

Adattárolást meghatározó külső források
Adattárolási kötelezettségek meghatározó, előíró külső forrás lehet jogszabály, hatósági vagy iparági gyakorlat, vagy akár sztenderdek, iránymutatások stb. Ezen külső források felmérése mellett a megfelelő részletességű dokumentálásuk is javasolt (pl. a fent említett adatelem nyilvántartás és megőrzési mátrixban). Ezen külső források közül emelhető ki a német Deutsches Institut für Normung által kiadott DIN 66398:2016 számú norma, amely egy átfogó törlési koncepció kialakításában segíti az adatkezelőket.

Az Útmutató szerint az adatkezelő szervezeteknek – természetesen a kockázatokkal arányos mértékben – szükséges megfelelő adattörlési belső eljárásrenddel rendelkezniük, amelyet (pl. belső szabályzat formájában) dokumentálni is kell. Ezen adattörlési belső eljárásrendben kell meghatároznia az adatkezelőnek, hogy az egyes személyes adatokat és a kapcsolódó adathordozókat milyen elvek és milyen gyakorlat mentén tartja az aktív adatkezelési életciklus, a közbenső archiválás állapotában, illetve milyen feltételek teljesülése esetén lehet selejtezni vagy megsemmisíteni, törölni az adatot vagy az adathordozót.

Belső eljárásrendek – kockázatarányos technikai és szervezési intézkedések kialakítása és rendszeres felülvizsgálata
Az Útmutató kifejezetten kitér a belső adattörlési és adatselejtezési szabályzat meglétére, amelyekben rögzíteni kell azokat a kontrollokat és követelményeket, amelyek az egyes adattárolási technológiákra figyelemmel biztosítják a biztonságos adattörlést, selejtezést és megsemmisítést. Ennek fényében lehetséges rendszeres és eseti adattörléseket megkülönböztetni.

A személyes adatok rendszeres vagy eseti törlésével kapcsolatos intézkedések bevezetésének kötelezettsége alapvetően a célhoz kötöttség és az adattakarékosság alapelvéből, illetve ezen alapelvek beépített és alapértelmezett adatvédelem elvének megfelelő hatékony végrehajtásának kötelezettségéből következik, ideértve a gyűjtött személyes adatok tárolásuk időtartamára vonatkozó intézkedéseket, melyet a GDPR 25. cikk (2) bekezdése kifejezetten is nevesít. A GDPR 11. cikke szerinti azonosítást nem igénylő adatkezelések szabályozása a rendszeres törlés végrehajtását azzal támogatja, hogy csupán az érintetti jogok biztosítása miatt, ha nincs egyéb adatkezelési cél, nem szükséges az adatokat megőrizni. Eseti törlési kötelezettségek viszont a pontosság elvének a betartásából, az érintetti kérelmek eseti teljesítéséből vagy abból következhetnek, ha hatóság (GDPR 58. cikk (2)(c) és (g), illetve Infotv. 61. § (1)(bc)) vagy bíróság elrendeli az adatok törlését (Ptk. 2:51. § (1)(b) és (d)), melyet végre kell hajtani. A pontosság elve értelmében amennyiben az adatok pontatlanná válnak, ebben az esetben is végre kell hajtani az adat törlését, ha a helyesbítés nem lehetséges.

A GDPR 18. cikk ezt meghaladóan az érintett kérelmére megnyitja annak lehetőségét, hogy kérelmére a törlés elmaradjon és az adatok felhasználásának korlátozására kerüljön sor. Erre akkor kerülhet sor, ha az adatkezelés jogellenes, de az érintett ellenzi az adatok törlését; vagy ha az adatkezelőnek már nincs szüksége a személyes adatokra az adott adatkezelés céljából, azonban az érintett azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez igényli. Ilyen esetben a törlés tekintetében figyelembe kell venni, hogy a korlátozás által érintett adatok nem törölhetők és biztosítani kell, hogy azok rendelkezésre álljanak.

A fenti rendszeres és eseti törlési kötelezettségek teljesítését, illetve az érintett jogai gyakorlásának ezzel kapcsolatos elősegítését, ideértve a törlési kérelem határidőben való megválaszolására való képességet az adatkezelőnek az elszámoltathatóság követelménye alapján, szükség esetén belső eljárásrendek kialakításával és hatékony működtetésével kell tudnia igazolnia.

A közbenső archiválás időszaka
Az aktív adatkezelési életciklus végén, azaz, amikor teljesülésbe ment az adatkezelési tevékenység elsődleges célja az adatkezelőnek főszabály szerint törölnie vagy anonimizálnia kell az adatokat. Gyakran előfordul azonban, hogy az adatkezelő bizonyos további célokból az adatok közbenső archiválása mellett dönt, vagy erre jogszabály kötelezi az adattárolás időtartamának legrövidebb hosszának előírásával. Nem részletezi az Útmutató, azonban a GDPR 6. cikk (4) bekezdésére figyelemmel már az előzetes felmérés szakaszában javasolt elkészíteni a szükséges kompatibilitási teszteket azon esetekre, amikor változás történik az adatkezelési életciklusban, azaz, amikor egy személyes adatkör az aktív életszakaszból a közbenső archiválás szakaszába lép és vissza, mivel ezen esetekben változás történik az adatkezelési célokban és jogalapokban is. Izgalmas kérdéseket vet fel, ha egy feltanított tanuló algoritmust szükséges visszaállítani, amelyhez a tanítás során felhasznált személyes adatokat már törölnie kellett az adatkezelőnek. Ezen esetekben mi indokolhatja a tanításhoz használt személyes adatok megőrzését és újbóli felhasználását?

Az adatok archiválását megelőzően az adattakarékosság elvére figyelemmel az adatok felülvizsgálata javasolt az Útmutató szerint. Azaz azon adatköröket, amely az aktív életszakaszban még szükségesek voltak az adatkezelési cél teljesítéséhez, de a közbenső archiválási cél teljesítéséhez nem szükséges, vagy ezen célokkal nem kompatibilis célból történt a kezelésük le kell választani az archiválandó adatokról (ez történhet praktikusan pl. a meglévő értékek felülírásával, kimaszkolásával vagy ha lehetséges, törlésével). Szintén figyelemmel kell lenni, hogy ezt a lépést az adat összes előfordulási helyén és formátumával kapcsolatban végre kell hajtani.

Az adatok közbenső archiválása esetén az alkalmazandó jogszabályi előírásokkal összhangban azt az adattárolási időtartamot szükséges meghatározni, amikor az adatkezelő legközelebb döntést hoz a tekintetben, hogy az adatkezelés célja a közbenső archiválás életciklusában teljesült-e vagy sem, azaz szükséges-e az adat további tárolása [kezelése], vagy biztonságos módon törölni, vagy bonyolult módszertan szerint anonimizálni szükséges azt. A közbenső archiválás életciklusában tárolt adatokat az Útmutató szerint fizikailag (pl. teljesen elkülönült, dedikált rendszerekben) vagy logikailag (pl. külön adatbázis instanciákban) szét kell választani egymástól, és a fentebb írt módon a hozzáférési jogosultságokat és a hozzáféréssel rendelkező személyek körét is differenciáltan kell meghatározni, illetve dokumentálni.

Fontos megjegyezni, hogy az adatbiztonsági kontrolloknak (azaz a GDPR 24. és 32. cikkeiben írt beépített- és alapértelmezett alapelvének és az adatbiztonsági követelményeknek) ugyanazon szintű védelmet kell biztosítani a közbenső archiválás életciklusában lévő adatoknak is, mint az aktív használatban lévő adatoknak is, legyenek azok bármilyen adatkezelői környezetben (pl. éles, tesztelői vagy fejlesztői környezetekben).

Kiemelendő az Útmutatóból az is, hogy az adatalanyi jogosultságok gyakorlásával összefüggésben, például hozzáférési jog gyakorlása esetén a közbenső archiválás életciklusában lévő személyes adatokról is tájékoztatást kell adni, azokkal kapcsolatban is teljesíteni szükséges az adatalanyi kérelmet.

Beszállítók és személyzet kezelése és az adattárolás
Az adatkezelő felelős a személyes adatokhoz hozzáférő beszállítók (kiszervezés, külső szakértők) tevékenységéért. A GPDR 28. cikk (1) bekezdése értelmében az adatkezelő kizárólag olyan adatfeldolgozót vehet igénybe, amely megfelelő garanciákat nyújt adatvédelmi rendelkezések betartására, melybe beletartozik a törlésre vonatkozó kötelezettségek végrehajtása is. Így az adatkezelő köteles a törléssel kapcsolatos kötelezettségeket – így különösen a törlés végrehajtásával, az érintett törlési jogának gyakorlásával kapcsolatos támogatással és a kiszervezés befejezésével és az adatok ezt követő törlését – érvényesíteni a számára kiszervezett tevékenységet végző beszállítók irányába. Ezen kötelezettségek teljesítését szerződésben kell garantálni, így teljesítésüket kockázat alapon helyszíni audit, illetve kérdőívek útján kell ellenőrizni. A GDPR 29. cikke értelmében az irányítás alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti. Ez azt jelenti, hogy az irányítás alatt eljáró személy vonatkozásában szerződésben szükséges szabályozni ezt az utasítási jogot, illetve az elszámoltathatóság elvének megfelelően megfelelő oktatást, illetve tréninget szükséges nyújtani személyzetnek.

Az Útmutató kiemeli, hogy akkor jár el prudens módon az adatkezelő, ha naprakész adathozzáférési nyilvántartást vezet, amelyben rögzíti, hogy az aktív használat és a közbenső archiválás során kik, mely személyek, munkakörök jogosultak hozzáférni a különböző adatkezelési életciklusban lévő adatokhoz (pl. egy esetleges hatósági eljárás miatt tárolt elektronikus dokumentumokhoz, emailekhez csak az adatkezelő jogi osztálya vagy meghatalmazott jogi képviselői férhetnek hozzá). Ennek a nyilvántartásnak értelemszerűen ki kell terjednie a külső felekre, így a beszállítókra és egyéb közreműködőkre.

Az Útmutató kifejezetten kiemeli azt is, hogy az adatkezelőnek dokumentálnia kell az adatfeldolgozó felé megtett utasításait az egyes személyes adatok törlésére vonatkozóan. A francia adatvédelmi hatóság ezen adatkezelői utasításokkal dokumentálásával látja biztosítottnak az elszámoltathatóság alapelvi követelményeinek való megfelelést.

Adatosztályozás és az adatok tényleges törlése
Az adatok tárolási idejének meghatározásával kapcsolatban szűkszavúan fogalmaz és csak általánosságokat rögzít az Európai Adatvédelmi Testület 4/2019. számú, a beépített és alapértelmezett adatvédelemmel kapcsolatos iránymutatása („Iránymutatás”). Az Iránymutatás csak kurtán és gyakorlati iránymutatás nélkül rögzíti, hogy az adatkezelő a személyes adatokat az adatalanyok azonosítását lehetővé tevő formában nem tárolhatja tovább, mint a személyes adatok kezelése céljának eléréséhez szükséges ideig. Az adatkezelő részéről emiatt szükséges, hogy azonosítani tudja, hogy pontosan milyen személyes adatokat és miért kezel, mert egyértelműen kiemeli az Iránymutatás, hogy elsődlegesen e cél fogja meghatározni az adatok tárolásának idejét. Rögzíti továbbá az Iránymutatás azt is, hogy a korlátozott tárolhatóság elvét az adatkezelőnél a gyakorlatban kialakított intézkedések kiegészítik és garanciát biztosítanak különösen a törléshez, a tiltakozáshoz, valamint a profilozással szemben gyakorolható jogoknak. Főszabály szerint, ha a tárolt [kezelt] személyes adatok az adatkezelési célok további eléréséhez nem szükségesek, akkor azokat az adatkezelőnek az első adatkezelési tevékenység lezárását követően, rendszer szintű belső eljárások szerint [nyomban] törölnie vagy a megfelelő, kockázatarányos és monitorozott intézkedések mellett ténylegesen anonimizálnia kell. Az adatkezelőnek objektív kritériumok mentén szükséges tudnia megindokolnia az adatok további tárolásának szükségességét, és ezen objektív kritériumokat az adatkezelőnek az elszámoltathatóság elvére figyelemmel kell tudnia bemutatnia [azaz dokumentálnia és rögzítenie]. Maga az Iránymutatás is felsorolja azon adatvédelmi tervezési szintű kontroll intézkedéseket, így például dedikált belső törlési eljárásrendek kialakítását, a back-up és naplóállományokban [és egyéb rendszerekben is] megtalálható meta-adatokra is kiterjedő megőrzési időket meghatározó szabályrendszerek automatizált és kikényszerített végrehajtását [a különböző környezetekben is], az adatok anonimizálását, az egyes rendszerek közötti adatáramlások azonosítását, hozzáférések korlátozását stb. Azonban az Iránymutatás nem ad további fogódzót egy olyan átfogó megközelítéssel kapcsolatban, amelyre az adatkezelők esetleg támaszkodhatnak.

A fentiek elvégzését nagy mértékben segíteni és strukturálni tudja, ha az adatkezelőnél kialakításra kerül valamilyen adatosztályozási módszertan. Ezen adatosztályozási módszertan mellett az adatelemek felmérésekor célszerű azonosítani azokat az adatkezelő rendszereket, amelyek az adatok „eredeti” példányát tárolják, mivel a védelmi kontrollokat minden esetben azonosan kell alkalmazni, de az adatmegőrzési kötelezettségeket az adatok „eredeti” példányán keresztül kell érvényesíteni. Például a papír alapon kibocsájtott számlák esetében hiába tárolja el máshol (pl. szkennelve) az adatkezelő a teljes számlaképet, ezen szkennelt elektronikus adatokat nem szükséges a jogszabályi előírások szerint bizonylatként megőriznie, de a papír alapú dokumentumokat igen. Ez azt is jelenti, hogy minden nem „eredeti” adatot célszerű rövidebb ideig tárolni, és ezen idő leteltét követően törölni. Az eredeti és a nem eredeti, másodlagos adatok szinkronban tartásának problémakörét nem tudjuk most érinteni, azonban az adattörlési eljárások és kontrollok tervezése során erre is figyelemmel kell lenni.

Technológia sajátosságok
Az adatok törlésekor figyelemmel kell lenni az adatkezelő rendszerek technológiai sajátosságaira. Hiába technológia semleges a szabályozás, azonban a mai modern file-rendszerek journaling funkciója, vagy az adattárolást fizikailag végző SSD-kről való törlés esetén is biztosítani kell az adattörlés visszaállíthatatlan módon való kivitelezését. Az adattörlések automatizálása során célszerű figyelemmel lenni arra is, hogy mennyi ideig tart a törlési folyamat, milyen gyakran szokott megakadni vagy false negative eredményt adni egy-egy törlési script vagy workflow? Figyelemmel kell lenni arra is, hogy hol vannak mentett adatok, amelyeket törölni kell, ezek hova vannak esetlegesen kitükrözve, hova mentenek még adatokat az egyes rendszerek, és ténylegesen mennyi időbe telik ezen adattörléseket technikailag kivitelezni?

A hivatkozott Útmutató kitér arra az esetkörre, amikor ugyan azon adatokat két vagy több különböző célokból kezeli az adatkezelő és két vagy több tárolási időtartamot szükséges emiatt definiálnia. Az Útmutató szerint az egyik adatkezelési tevékenység végrehajtásával az adott adatkezelési cél teljesülése nem érinti a másik adatkezelési tevékenységet és célt, viszont a rövidebb adattárolási idő kihatással van az azonos adatkörre és emiatt a rövidebb adattárolást lehetővé tevő adatkezelési cél érdekében nem kezelhető tovább. Nem részletezi az Útmutató, azonban ezekben az esetekben a két adatkezelési tevékenység legalább logikai szintű szétválasztása lehet célszerű az adatkezelő rendszerekben, és bár ugyan azon adatkörről van szó, két különböző master adatforrást szükséges kezelni.

Felülvizsgálat és naprakésszé tétel
A törléssel kapcsolatosan elengedhetetlen a felülvizsgálattal és napra késszé tétellel kapcsolatos intézkedések alkalmazása, melyet a GDPR 24. cikk (1) bekezdése követel meg. Ez a felülvizsgálat lehet periodikus vagy eseti jellegű. Így a törléssel kapcsolatos intézkedések periodikus felülvizsgálata lehet indokolt, különösen jogszabályi vagy szervezeti, belső változások esetében. Jelentősebb, alaptevékenységet érintő jogszabályi változások esetében, illetve alapfolyamatok cseréje esetén indokolt lehet kockázat alapon soron kívüli, azonnali változást végrehajtani, ami a törlési koncepció végrehajtását illeti.

Összefoglaló
Az adatkezelőket érintő egyik legnagyobb kihívás napjainkban az adattárolással és -törléssel kapcsolatos jogszabályi kötelezettségeknek történő megfelelés biztosítása, és a legtöbb hiányosság ezen a téren jelentkezik a vállalatok életében. A személyes adatok törlésére vonatkozó kötelezettség a GDPR adatminimalizálási és korlátozott tárolhatósági elveiből közvetlenül következik, illetőleg az adatkezelőnek képesnek kell lennie a törlés végrehajtására az érintett kérelme alapján is. A CNIL gyakorlata szerint az adattárolási időkkel kapcsolatban a leggyakoribb mulasztás, ha egyáltalán nem határoz meg az adatkezelő adatmegőrzési időket, vagy ha ezeket túlzóan hosszú időszakra határozza meg, továbbá, ha nem rendelkezik adattörlési mechanizmusokkal, és az adatok törlését manuálisan, ad-hoc jelleggel végzi el a szervezet. Ugyanakkor a francia adatvédelmi hatóság Útmutatójára figyelemmel is látható tehát, hogy önmagában nem elegendő az elszámoltathatóság elvének való megfelelés igazolásához a GDPR szerinti kötelező adminisztratív belső dokumentumok és nyilvántartások elkészítése, hanem a változó kockázatokra is figyelemmel az adatkezelőknek további belső eljárásrendeket, folyamatokat kell kialakítaniuk, felméréseket elvégezniük és dokumentálniuk, valamint napra készen tartaniuk. Ezen tevékenységek alapja pedig a vállalat adatvagyonának a teljesség igényével történő felmérése, kategorizálása, valamint a belső és külső adatmegőrzési kötelezettségeket rögzítő források, előírások azonosítása és a kockázatokkal arányos adattörlés végrehajtását biztosító technikai feltételek kialakítása jelenti.