zákon o ochraně údajů ve Velké Británii se v důsledku Brexitu změnil. Nejnovější pokyny najdete zde.
podle obecného nařízení o ochraně osobních údajů (GDPR) musí organizace vytvořit zásady uchovávání údajů, které jim pomohou spravovat způsob, jakým nakládají s osobními údaji.
pokud uchováváte citlivé údaje příliš dlouho-i když jsou uchovávány bezpečně a nejsou zneužívány-můžete stále porušovat požadavky nařízení.
to může znít příliš přísně, ale je pro to dobrý důvod. V tomto blogu vysvětlujeme, proč tomu tak je, jak fungují zásady uchovávání údajů a jak je můžete vytvořit v souladu s požadavky GDPR.
co jsou zásady uchovávání údajů?
uchovávání údajů politika je soubor zásad, které pomáhá organizacím sledovat, jak dlouho informace musí být uchovávány a jak nakládat s informacemi, když je to již není potřeba.
politika by měla také nastínit účel zpracování osobních údajů. Tím je zajištěno, že máte zdokumentovaný důkaz, který ospravedlňuje dobu uchovávání a likvidace vašich údajů.
cíle
Pokud jste cast své mysli zpět k panice, která předcházela obecného nařízení o ochraně údajů, přičemž účinek, budete mít dokonale dobré pochopení toho, proč se doby uchovávání údajů, jsou nezbytné.
organizace, které s námi roky nekomunikovaly, vyšly ze dřeva a požádaly o souhlas s uchováváním našich údajů.
ukázalo se, jak často se naše záznamy nacházejí v databázích organizace dlouho poté, co jsme dokončili používání jejich služeb.
organizace nechce zbavit informace, protože to stojí prakticky nic k ukládání údajů o zákaznících, ale udržet to zbytečně vystavuje bezpečnostním hrozbám.
trvá jen jeden kus smůly pro systémy organizace, které mají být porušeny, ať už je to kybernetický útok nebo vnitřní chyba.
Takže, jak omezit škody, které narušení dat může způsobit, regulátory mandát, že EU-založené organizace musí uchovávat osobní údaje pouze tehdy, pokud neexistuje legitimní důvod pro to, aby to.
jak dlouho mohou být osobní údaje uloženy?
navzdory zjevné přísnosti období uchovávání údajů GDPR neexistují žádná pravidla pro omezení ukládání.
organizace si místo toho mohou stanovit své vlastní lhůty na základě jakýchkoli důvodů, které uznají za vhodné. Jediným požadavkem je, že organizace musí zdokumentovat a zdůvodnit, proč stanovila časový rámec, který má.
rozhodnutí by mělo být založeno na dvou klíčových faktorech: účelu zpracování údajů a jakýchkoli regulačních nebo právních požadavcích na jejich uchování.
údaje by neměly být uchovávány déle, než je potřeba, a neměly by být uchovávány „jen pro případ“, že je budete v budoucnu potřebovat.
dokud stále platí jeden z vašich účelů, můžete data nadále ukládat.
měli byste také zvážit své právní a regulační požadavky na uchovávání údajů. Například, pokud jsou údaje předmětem daní a auditů, nebo v souladu s definovanými standardy, budou existovat pokyny pro uchovávání údajů, které musíte dodržovat.
můžete naplánovat, jak budou vaše data použita a zda budou potřebná pro budoucí použití, vytvořením mapy toku dat. Tento proces je také užitečný, pokud jde o lokalizaci dat a jejich odstranění po uplynutí doby uchovávání.
existují dva způsoby, jak se vyhnout lhůtám uchovávání dat. Prvním z nich je anonymizace údajů; to znamená, že informace nelze připojit k identifikovatelnému subjektu údajů.
pokud jsou vaše údaje anonymizovány, GDPR vám umožňuje uchovávat je tak dlouho, jak chcete.
při tom byste však měli být opatrní. Pokud mohou být tyto informace použity společně s dalšími informacemi, které má organizace k identifikaci jednotlivce, pak nejsou dostatečně anonymizovány.
můžete také obejít lhůty uchovávání údajů, pokud tyto informace byly uchovávány pro účely archivace ve veřejném zájmu, vědecké nebo historiografické účely výzkumu nebo statistické účely.
Co dělat s daty za období uchování
máte dvě možnosti, když lhůta pro uchovávání údajů zaniká: smazat nebo anonymizovat.
pokud se rozhodnete data smazat, musíte zajistit, aby byly všechny kopie vyřazeny. Chcete-li to provést, budete muset zjistit, kde jsou data uložena. Je to digitální soubor, tištěná kopie nebo obojí?
je snadné vymazat tištěná data, ale digitální data často zanechávají stopu a kopie mohou být umístěny na zapomenutých souborových serverech a databázích.
Chcete-li vyhovět GDPR, budete muset dát data „mimo použití“. Všechny kopie dat by měly být odstraněny ze živých a záložních systémů.
jak vytvořit zásady uchovávání údajů
vaše zásady uchovávání údajů by měly být součástí vašeho celkového procesu dokumentace zabezpečení informací.
prvním krokem je získat úplný obrázek o tom, jaké údaje přesně zpracováváte, k čemu jsou používány a které předpisy se vztahují na vaši firmu.
tyto předpisy zahrnují, ale nejsou nutně omezeny na, GDPR. Pokud například zpracováváte informace o debetní nebo kreditní kartě jednotlivců, můžete podléhat standardu PCI DSS (Payment Card Industry Data Security Standard).
podobně, pokud máte v úmyslu dodržovat mezinárodní normu ISO 27001, která popisuje osvědčené postupy pro bezpečnost informací, musíte vzít na vědomí její požadavky.
tyto požadavky na dodržování předpisů určují, jaké informace musí být zahrnuty do vašich zásad a pravidel, která by se měla dodržovat.
jednoduchá politika uchovávání údajů se bude zabývat:
- typy informací, na něž se v politice
Různých typů informací, které budou předmětem různých pravidel, takže si musí vést záznamy o jaká data zpracováváte – ať už je to jména, adresy, kontaktní údaje, záznamy a tak dále.
- jak dlouho máte právo uchovávat informace
klienti jsou někdy překvapeni, když jim řekneme, že GDPR nestanoví konkrétní lhůty pro uchovávání údajů. Doba, po kterou konkrétní údaje uchováváte, je subjektivním rozhodnutím, které učiníte na základě vašich důvodů zpracování údajů.
- Co byste měli udělat, s daty, když je to již není potřeba
Pravidelné mazání nepotřebných dat také snižuje množství dat, které je třeba prosít, aby v souladu s předmětem žádosti o přístup. Snižuje také náklady na ukládání a správu dokumentů.
prochází uchovávání údajů politiku pravidelně umožňuje vyčistit dům a odstranit zdvojené a zastaralé soubory, aby se zabránilo záměně a urychlit veškeré nezbytné hledání.
Zkuste naše uchovávání údajů politiku template
Vytváření a uchovávání údajů politiku může zdát jako skličující úkol, ale s našimi obecného nařízení o ochraně údajů Toolkit, proces je jednoduchý.
obsahuje vše, co potřebujete, aby v souladu s Nařízením, včetně obecného nařízení o ochraně údajů o uchovávání údajů šablony zásady, že UK organizace mohou použít formalizovat svůj přístup k dodržování pravidel, zatímco šetří čas a peníze.
Tato sada nástrojů obsahuje také:
- Mezera Analýzy Nástroj, který můžete použít k měření své celkové dodržování postupů;
- Návod, jak k dokončení své požadavky na dokumentaci, šablony na pseudonymizace, minimalizace a šifrování, abychom jmenovali alespoň některé;
- role a odpovědnosti matrix, aby vám pomohl pochopit, kdo dohlíží na určité úkoly a funkce.
verze tohoto blogu byla původně publikována 12. Listopadu 2018.