GH GambleHub

Legal Hold і заморожування даних

1) Що таке Legal Hold і навіщо він потрібен

Legal Hold (правовий мораторій на видалення/зміну даних) - це керована «заморожування» конкретних даних, що потенційно мають значення для розслідування, аудиту, претензії, судового або регуляторного процесу. Мета - зберегти доказову цілісність: запобігти знищенню, модифікації або автоматичному очищенню за розкладами ретенції, поки існує юридичний ризик.

Ключові принципи:
  • Своєчасність: hold вводиться без затримок після «розумного очікування» спору/перевірки.
  • Точність: заморожуються тільки релевантні набори (data minimization).
  • Спостережуваність і аудіюваність: всі дії логуються і доступні для перевірки.
  • Реверсивність: є зрозуміла процедура зняття hold і повернення до нормальних графіків видалення.

2) Коли вводиться Legal Hold: типові тригери

Повідомлення про претензію, скарга регулятора, приписи нагляду.
Внутрішнє розслідування (комплаєнс/безпека/фінанси/AML).
eDiscovery/запити зовнішніх консультантів.
Інциденти безпеки (витік, шахрайство).
Сигнали від ліній захисту: Legal, DPO, CISO, Internal Audit.

3) Обсяг заморозки: джерела даних

Операційні сховища: БД транзакцій, логи платежів, KYC/KYB, AML-сигнали.
Корпоративні комунікації: пошта, чати, кол-записи, тікети.
Файлові репозиторії та DWH/даталійки: сирі та похідні шари.
Бекапи та архіви: снапшоти, WORM-сховища, S3 Object Lock/immutability.
Сторонні процесори: провайдери KYC, PSP, маркетингові платформи, хмари.

Важливо: заморожування поширюється на копії та похідні (ETL/виторки/кеші).

4) Ролі та відповідальність (RACI)

РольВідповідальність
General Counsel / Head of Legal (A)Схвалює і закриває hold, визначає обсяг і підстави eDiscovery/Legal Ops (R)
DPO/Privacy (C)Сумісність з GDPR/локальними законами, конфлікт з DSAR
CISO/SecOps (C)Технічні заходи незмінності, контроль цілісності
Data Owners (R)Локалізація даних, застосування тегів hold в системах
IT/Platform/DBA (R)Технічна заморозка: політики retention/backup/архів
Compliance/AML (C)Перетин з розслідуваннями, регуляторні терміни
Internal Audit (I)Аудит слідів виконання
HR/PR (I/C)Комунікації зі співробітниками/зовнішніми сторонами при необхідності

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Наскрізний процес (SOP)

1. Ініціація: Legal реєструє справу, формує «scope»: теми, дати, суб'єкти, системи.
2. Оцінка та картування: Data Owners + Legal Ops створюють перелік джерел/таблиць/бекапів.

3. Технічна заморозка:
  • Включити hold-теги/правила в DLP/EDRM/архівації.
  • Перекрити авто-видалення/анонімізацію в порушених схемах.
  • Для бекапів - застосувати immutability/WORM; зафіксувати retention override.
  • 4. Сповіщення (Legal Hold Notice): адресатам (custodians) - хто зобов'язаний зберігати і не видаляти.
  • 5. Контроль виконання: підтвердження, нагадування, навчання, моніторинг порушень.
  • 6. Періодичний огляд: мінімум щомісяця - чи актуальний hold, чи немає надлишкового охоплення.
  • 7. Зняття hold: письмове рішення Legal; чек-лист відновлення звичайних політик.
  • 8. Дефенсібл-диспозишн: відновлення планових видалень і анонімізації, фіксація в журналах.

6) Політики ретенції і «заморожування»: Як вони поєднуються

Правило: Hold призупиняє відповідні терміни ретенції тільки для порушених об'єктів.
Конфлікт з Privacy by Design: мінімально розширювати scope; не блокувати «непричетні» набори.
Гранулярність: об'єкт (ID/суб'єкт), таблиця/партія, простір/бакет, тип документа.

7) Технічні контрольні заходи

Іммутабельні сховища: WORM/S3 Object Lock, Write-Once volumes, файлові системи, що журналюються.
Контроль цілісності: хеші, ланцюжки доказів, журнал аудиту (append-only).
Заморозка в БД: policy-прапори і тригери, що забороняють UPDATE/DELETE за заданими ключами.
Архівація комунікацій: авто-журналація пошти/чатів з Legal Hold API (journaling, AIP/EDRM).
DLP/EDRM-інтеграції: мітки «LegalHold = true», заборона видалення, експорт по кейсу.
Backups: окремі hold-бекапи, зі збільшеним терміном зберігання, тест відновлення.
Спостережуваність: дашборд hold-кейсів, SLA, помилки застосування, «дрейф» політик.

8) Точки інтеграції (референс-архітектура)

Case Management (Legal): система справ ↔ каталог даних ↔ оркестратор політик.
IAM/Secrets: делегування мінімально необхідного доступу для експорту/перегляду.
Data Catalog/Lineage: автоматичне «розмальовування» залежних датасетів.
CI/CD конфігурацій ретенції: hold-правила - як код (policy-as-code), рев'ю/версії.
SIEM/SOAR: алерти про спроби видалення/модифікації під hold.

9) Конфлікти і як їх вирішувати

DSAR/право на видалення vs Legal Hold: запит суб'єкта може бути законно відкладений, якщо дані підлягають збереженню для виконання юридичних зобов'язань; фіксуємо обґрунтування і повідомляємо суб'єкта про затримку.
Мінімізація та пропорційність: переглядайте scope; відокремлюйте незв'язані персональні дані.
Крос-бордер трансфери: якщо тримаємо копії в інших юрисдикціях - перевіряємо правові підстави та механізми передачі (SCC/BCR/локальні реєстри).
Шифрування та ключі: не можна «обійти hold» знищенням ключів; KMS-ротації документуються.

10) Регуляторний контекст (у довідкових цілях)

eDiscovery/стандарти цивільного процесу (напр., FRCP 37 (e)) - санкції за втрату ESI.
GDPR/локальні закони про дані: законність зберігання, повідомлення, обмеження цілей.
Фінансове/AML: визначені терміни зберігання (транзакції, KYC), які можуть бути довшими за звичайні.

(Актуальні норми уточнюються Legal для вашої юрисдикції/ринків.)

11) Метрики та SLA

Time-to-Hold: від тригера до застосування у всіх цільових системах (мета: ≤24 ч).
Coverage: % підтверджених custodians/систем під hold (мета: 100%).
Drift/Violations: спроби видалення/редагування, заблоковані політиками.
Scope Creep: частка нерелевантних об'єктів - знижувати щомісячним оглядом.
Time-to-Release: від рішення Legal до повного зняття (мета: ≤48 -72 год).

12) Чек-лист запуску Legal Hold

  • Зареєструвати кейс і юридичні підстави.
  • Сформувати scope (суб'єкти, дати, системи, типи даних).
  • Оновити карту даних і lineage.
  • Включити hold-правила в DLP/архівах/БД/файлах/бекапах.
  • Розіслати Legal Hold Notice та інструкції.
  • Включити моніторинг і алерти.
  • Зафіксувати відмовостійкі бекапи (immutability) і протестувати відновлення.
  • План регулярного огляду і дата наступної ревізії.

13) Шаблон Legal Hold Notice (короткий)

Тема: Legal Hold: зобов'язання щодо збереження даних

Адресати: [Список custodians/власників даних]

Підстава: [№ кейса/тип процесу]

Що зберігати: [системи/папки/таблиці/поштові скриньки/діапазон дат]

Заборонено: видаляти, змінювати, очищати, перезаписувати, шифрувати без узгодження

Інструкції: де і як зберігати, теги/мітки, контакт Legal Ops

Термін: до окремого повідомлення про зняття

Підтвердження: посилання/форма для підтвердження прочитання та виконання

14) Процедура зняття Legal Hold (Release)

1. Рішення Legal + опис причин.
2. Фінальний експорт/консолідація доказів (якщо потрібно).
3. Відгук повідомлень, логування часу.
4. Відновлення звичайних політик ретенції та анонімізації.
5. Закриваючий звіт: що було під hold, хто повідомлений, які видалення відновлені.

15) Часті помилки і як їх уникнути

Нечіткий scope → надмірне зберігання, ризики приватності і витрати.
Ігнор бекапів і кешів → неповна заморозка, вразливість справи.
Немає immutability → ризик несанкціонованої модифікації.
Погана комунікація з custodians → людський фактор і порушення.
Відсутність регулярного огляду → «вічні» holds без потреби.

16) Міні-плейбук «на землі» (операційний)

DBA: застосувати атрибути'legal _ hold = true'на порушених партіях/ключах; включити audit-тригери; заблокувати DDL-зміни схем.
Storage: перевести відповідні бакети/папки на режим WORM/Retention Lock; створити снапшоти.
Mail/Chat: включити журналювання та експорт під кейс; заборона purge.
DWH/ETL: позначити таблиці як read-only; заморозити планові чистки історичних партій.
Backups: виділені репліки зі збільшеним терміном; щотижнева перевірка відновлення.
Monitoring: сповіщення в Slack/Email про будь-якому DELETE/TTL-події по scope.

17) Політика (зразок формулювань)

Організація вводить Legal Hold негайно при виникненні розумного очікування спору/перевірки.
Обсяг hold визначається принципами необхідності і пропорційності.
Всі співробітники зобов'язані дотримуватися повідомлення і підтверджувати виконання.
Технічна незмінність забезпечується засобами immutability і audit-logging.
Hold переглядається не рідше 1 разу на 30 днів.
Зняття hold оформляється письмово і супроводжується відновленням стандартних політик.

18) Пов'язані розділи wiki

Privacy by Design і мінімізація даних

Графіки зберігання та видалення даних

Видалення та анонімізація даних

Legal/Regulatory Requests & eDiscovery

Інцидент-менеджмент і форензика

DLP/EDRM та архівування комунікацій

Підсумок

Legal Hold - це керована, вимірювана і аудійована «заморозка» строго певних даних. Сильна програма спирається на: (1) швидкий тригер і точний scope, (2) технічну незмінність (WORM, object lock, audit), (3) прозорі ролі і SLA, (4) регулярний огляд і безпечне зняття hold з поверненням до нормальної ретенції.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Telegram
@Gamble_GC
Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.