Право на видалення GDPR у 2025 році: технічні вимоги відповідності
Скоординована дія виконання EDPB
European Data Protection Board у 2024 році скоординував загальноєвропейське виконання права на видалення (Стаття 17 GDPR). Висновки:
- 65% організацій не відповідали вимогам часу відповіді 30 днів
- 43% не змогли продемонструвати технічні засоби для повного видалення (резервні копії, журнали, системи третіх сторін)
- 29% неправильно відмовляли у законних запитах на видалення
Технічна архітектура права на видалення
Повна відповідність вимозі видалення вимагає:
1. Інвентаризація даних (де живуть дані суб'єкта?):
- Основна база даних
- Резервні копії та архіви
- Сторонні системи (CRM, підтримка, аналітика)
- Журнали застосунків
- Кеші та CDN
- Файли AI/ML-навчання
2. Процес видалення (технічна реалізація):
def process_erasure_request(user_id, request_date):
# Видалити з основних таблиць
delete_from_primary_tables(user_id)
# Анонімізувати в журналах (повне видалення може порушити цілісність)
anonymize_in_logs(user_id)
# Поставити в чергу на видалення з резервних копій
schedule_backup_deletion(user_id, within_days=30)
# Повідомити субпроцесорів
notify_subprocessors(user_id, request_date)
# Задокументувати для підзвітності
log_erasure_completion(user_id, request_date)
Джерела: