Сохранение данных в голосовании

Содержание

Сохранение данных в голосовании относится к политикам и практикам, регулирующим, как долго данные, связанные с выборами, хранятся после окончания выборов. Организации должны балансировать между необходимостью сохранения записей для соблюдения юридических требований, разрешения споров и проведения аудита и обязательством удалять личные данные, когда они больше не нужны — особенно в соответствии с GDPR.

Что такое сохранение данных в голосовании?

Каждое онлайн-голосование генерирует данные: списки избирателей, журналы аутентификации, зашифрованные бюллетени, результаты и системные логи. Политики сохранения данных определяют, как долго хранится каждый тип данных, как они защищены во время хранения и когда и как они безопасно удаляются. Эти политики должны соответствовать применимым законам и поддерживать потребности управления организацией.

Типы данных выборов

Онлайн-голосования производят несколько категорий данных с различными требованиями к хранению:

Данные регистрации избирателей: Имена, электронные адреса, статус правомочности
Журналы аутентификации: Записи входа, события двухфакторной аутентификации
Данные бюллетеней: Зашифрованные голоса и связанные криптографические доказательства
Данные результата: Подсчеты голосов, расчеты большинства, записи итогов
Системные логи: Технические логи операций и событий платформы
Протоколы выборов: Формальная документация избирательного процесса
Записи коммуникаций: Приглашения, напоминания и уведомления, отправленные избирателям

Юридические требования к сохранению данных

Требования к хранению данных варьируются в зависимости от юрисдикции и типа организации:

Корпоративное право: Записи голосования акционеров могут потребоваться к хранению в течение 10 лет или более
Закон об ассоциациях: Протоколы собраний и результаты выборов часто требуются для хранения на протяжении всей жизни организации
Трудовое право: Записи выборов рабочего совета могут иметь определенные сроки хранения
Налоговое право: Финансовые решения, утвержденные голосованием, могут потребоваться для хранения в целях налогового соответствия
Избирательные правила: Некоторые юрисдикции указывают минимальные сроки хранения избирательных записей

Принцип ограничения хранения GDPR (Статья 5(1)(е)) требует, чтобы личные данные хранились только так долго, как это необходимо для цели, для которой они были собраны. Для данных выборов это означает, что личные данные избирателей должны быть удалены после достижения цели выборов, хранение должно быть оправдано конкретной юридической основой, субъекты данных (избиратели) должны быть проинформированы о сроках хранения, и анонимизация должна рассматриваться как альтернатива удалению, если все еще требуются агрегированные данные.

Сроки хранения данных по типу данных

Разные категории данных требуют разных сроков хранения:

Личные данные избирателей: Удалить после завершения периода обжалования (обычно 30–90 дней после выборов)
Журналы аутентификации: Хранить на период любых потенциальных споров
Зашифрованные бюллетени: Хранить до сертификации результатов и завершения периода обжалования
Данные результатов: Хранить в течение требуемого организацией архивного периода (часто годы)
Протоколы выборов: Хранить постоянно как часть организационных записей
Системные логи: Хранить на ограниченный период для технического устранения неполадок (30–90 дней)

Безопасное хранение данных

Во время периода хранения данные выборов должны храниться безопасно:

Шифрование в состоянии покоя: Все хранимые данные должны быть зашифрованы
Управление доступом: Только уполномоченный персонал должен иметь доступ к данным выборов
Сегрегация: Данные выборов должны храниться отдельно от других организационных данных
Защита резервных копий: Резервные копии должны подчиняться тем же политикам хранения и удаления
Географическое расположение: Локация хостинга данных должна соответствовать правилам трансграничной передачи

Процедуры удаления данных

По истечении срока хранения данные должны быть безопасно удалены:

Криптографическое стирание: Уничтожение ключей шифрования делает зашифрованные данные навсегда недоступными
Безопасное перезаписывание: Множественные проходы перезаписи обеспечивают невозможность восстановления данных
Сертификат удаления: Документация о правильном проведении удаления
Очистка резервных копий: Обеспечение удаления данных также из резервных копий
Проверка: Подтверждение, что удаление было полным и необратимым

Сохранение аудиторских следов

Хотя личные данные избирателей должны быть удалены в соответствии с графиком хранения, некоторые элементы аудиторских следов могут потребовать более длительного сохранения для нужд управления. Проблема заключается в том, чтобы сохранить достаточно информации, чтобы продемонстрировать, что выборы были проведены правильно, удалив при этом данные, которые могли бы идентифицировать отдельных избирателей или их выбор.

Проблемы с сохранением данных

Организации сталкиваются с рядом проблем в управлении хранением данных выборов:

Конфликтующие требования: Разные законы могут требовать разные сроки хранения одних и тех же данных
Продолжающиеся споры: Юридические споры могут потребовать продления сроков хранения за пределы стандартных периодов
Техническая сложность: Обеспечение полного удаления по всем системам и резервным копиям
Трансграничные соображения: Международные организации могут столкнуться с различными требованиями в зависимости от юрисдикции
Устаревшие данные: Исторические данные выборов до установления политик хранения

Лучшие практики управления данными выборов

Организации должны установить четкую политику хранения данных перед проведением онлайн-выборов, задокументировать юридическую основу для каждого периода хранения, внедрить автоматизированные графики удаления на платформе для голосования, поддерживать анонимизированные записи результатов отдельно от личных данных, регулярно проводить аудит соблюдения политик хранения и информировать избирателей о практиках хранения через уведомления о конфиденциальности.