az Egyesült Királyság adatvédelmi törvénye megváltozott a Brexit következtében. A legfrissebb útmutatást itt találja.
az Általános Adatvédelmi Rendelet (GDPR) értelmében a szervezeteknek adatmegőrzési Szabályzatot kell létrehozniuk, amely segíti őket a személyes adatok kezelésének kezelésében.
ha túl sokáig őrzi meg az érzékeny adatokat – még akkor is, ha azokat biztonságosan őrzi és nem használja vissza–, akkor is megsértheti a rendelet követelményeit.
ez túl szigorúnak tűnhet, de jó oka van rá. Ebben a blogban elmagyarázzuk, miért van ez így, hogyan működnek az adatmegőrzési irányelvek, és hogyan hozhat létre egyet a GDPR követelményeinek megfelelően.
mi az adatmegőrzési politika?
az adatmegőrzési irányelvek olyan irányelvek, amelyek segítenek a szervezeteknek nyomon követni, hogy mennyi ideig kell megőrizni az információkat, és hogyan kell megsemmisíteni az információkat, amikor már nincs rájuk szükség.
a Szabályzatnak tartalmaznia kell a személyes adatok feldolgozásának célját is. Ez biztosítja, hogy dokumentált bizonyítékkal rendelkezik, amely igazolja az adatok megőrzését és megsemmisítését.
célok és célkitűzések
ha visszadobja a fejét a GDPR hatálybalépését megelőző pánikra, tökéletesen megérti, miért elengedhetetlenek az adatmegőrzési időszakok.
azok a szervezetek, amelyek évek óta nem léptek kapcsolatba velünk, előjöttek a faanyagból, hogy beleegyezésünket kérjék adataink megőrzéséhez.
megmutatta, hogy a nyilvántartásaink milyen gyakran ülnek a szervezet adatbázisaiban jóval azután, hogy befejeztük a szolgáltatásaik használatát.
a szervezet nem akar megszabadulni az információtól, mert gyakorlatilag semmibe sem kerül az ügyfelek adatainak tárolása, de feleslegesen tartva biztonsági fenyegetéseknek teszi ki őket.
csak egy balszerencse kell ahhoz, hogy egy szervezet rendszereit megsértsék, legyen az kibertámadás vagy belső hiba.
tehát az adatvédelmi jogsértések által okozott károk korlátozása érdekében a szabályozók előírták, hogy az EU-ban működő szervezetek csak akkor őrizzék meg a személyes adatokat, ha azok megőrzésére jogos ok áll fenn.
mennyi ideig tárolhatók a személyes adatok?
a GDPR adatmegőrzési időszakainak nyilvánvaló szigorúsága ellenére a tárolás korlátozására nincsenek szabályok.
a szervezetek ehelyett saját határidőket határozhatnak meg az általuk megfelelőnek ítélt indokok alapján. Az egyetlen követelmény, hogy a szervezetnek dokumentálnia és igazolnia kell, hogy miért határozta meg a rendelkezésére álló időkeretet.
a döntésnek két kulcsfontosságú tényezőn kell alapulnia: az adatok feldolgozásának célján, valamint az adatok megőrzésére vonatkozó szabályozási vagy jogi követelményeken.
az adatokat nem szabad a szükségesnél hosszabb ideig tárolni, és nem szabad csak abban az esetben megőrizni, ha a jövőben szüksége van rá.
mindaddig, amíg az egyik célja továbbra is fennáll, továbbra is tárolhatja az adatokat.
az adatok megőrzésére vonatkozó jogi és szabályozási követelményeket is figyelembe kell vennie. Például, ha az adatok adó-és könyvvizsgálatnak vannak alávetve, vagy megfelelnek a meghatározott szabványoknak, akkor az adatmegőrzési irányelveket be kell tartania.
adatfolyam-térkép létrehozásával megtervezheti az adatok felhasználásának módját és azt, hogy szükség lesz-e rájuk a későbbi felhasználáshoz. Ez a folyamat akkor is hasznos, ha az adatok megtalálásáról és eltávolításáról van szó, miután a megőrzési időszak lejár.
kétféle módon kerülheti el az adatmegőrzési határidőket. Az első az adatok anonimizálása; ez azt jelenti, hogy az információ nem kapcsolható össze azonosítható érintettel.
ha adatait anonimizálják, a GDPR lehetővé teszi, hogy azokat addig tárolja, ameddig csak akarja.
ennek során azonban óvatosnak kell lennie. Ha az információ a szervezet birtokában lévő egyéb információk mellett felhasználható az egyén azonosítására, akkor nincs megfelelően anonimizálva.
az adatmegőrzési határidőket akkor is megkerülheti, ha az információkat közérdekű archiválás céljából, tudományos vagy történelmi kutatási célból vagy statisztikai célból tárolják.
mi a teendő a megőrzési időszakon túli adatokkal
az adatmegőrzési határidő lejártakor két lehetősége van: törölje vagy névtelenné tegye.
ha úgy dönt, hogy törli az adatokat, gondoskodnia kell arról, hogy az összes másolat megsemmisüljön. Ehhez meg kell találnia, hogy hol tárolják az adatokat. Ez egy digitális fájl, nyomtatott vagy mindkettő?
könnyű törölni a nyomtatott adatokat, de a digitális adatok gyakran nyomot hagynak, és a másolatok elfelejtett fájlkiszolgálókban és adatbázisokban találhatók.
a GDPR-nek való megfelelés érdekében az adatokat felhasználhatatlanná kell tenni. Az adatok minden másolatát el kell távolítani az élő és tartalék rendszerekből.
adatmegőrzési szabályzat létrehozása
az adatmegőrzési Szabályzatnak az Általános információbiztonsági dokumentációs folyamat részét kell képeznie.
az első lépés az, hogy teljes képet kapjon arról, hogy pontosan milyen adatokat dolgoz fel, mire használja fel, és milyen szabályok vonatkoznak az Ön vállalkozására.
ezek a szabályok magukban foglalják, de nem feltétlenül korlátozódnak a GDPR-re. Például, ha magánszemélyek betéti vagy hitelkártya-adatait dolgozza fel, akkor a PCI DSS (Payment Card Industry Data Security Standard) hatálya alá tartozhat.
hasonlóképpen, ha meg kíván felelni az ISO 27001 szabványnak, az információbiztonság legjobb gyakorlatát leíró nemzetközi szabványnak, figyelembe kell vennie annak követelményeit.
ezek a megfelelőségi követelmények határozzák meg, hogy milyen információkat kell tartalmaznia a szabályzatnak, és milyen szabályokat kell követnie.
egy egyszerű adatmegőrzési politika foglalkozik:
- a Szabályzatban szereplő információk típusai
a különböző típusú információkra eltérő szabályok vonatkoznak, ezért nyilvántartást kell vezetnie arról, hogy milyen adatokat dolgoz fel – legyen szó nevekről, címekről, elérhetőségekről, pénzügyi nyilvántartásokról stb.
- mennyi ideig jogosult az információk megőrzésére
az ügyfelek néha meglepődnek, amikor azt mondjuk nekik, hogy a GDPR nem határoz meg konkrét határidőket az adatok megőrzésére. Az egyes adatok tárolásának időtartama szubjektív döntés, amelyet az adatok feldolgozásának okai alapján kell meghoznia.
- mit kell tennie az adatokkal, ha már nincs rájuk szükség
a felesleges adatok rendszeres törlése szintén csökkenti az adatok mennyiségét, amelyeket át kell szitálnia, hogy megfeleljen az alany hozzáférési kéréseinek. Csökkenti a tárolás és a dokumentumkezelés költségeit is.
megy keresztül az adatmegőrzési politika rendszeresen lehetővé teszi, hogy tiszta ház, és távolítsa el a duplikált és elavult fájlokat a félreértések elkerülése érdekében, és felgyorsítja a szükséges kereséseket.
próbálja ki az adatmegőrzési házirend sablonunkat
az adatmegőrzési házirend létrehozása ijesztő feladatnak tűnhet, de a GDPR Eszközkészletünkkel a folyamat egyszerű.
mindent tartalmaz, amire szüksége van ahhoz, hogy megfeleljen a rendeletnek, beleértve a GDPR adatmegőrzési irányelv sablont, amelyet az Egyesült Királyság szervezetei használhatnak a megfelelőségi megközelítés formalizálására, miközben időt és pénzt takarítanak meg.
ez az eszköztár tartalmaz továbbá:
- Hiányelemző eszköz, amelyet az Általános megfelelőségi gyakorlatok mérésére használhat;
- útmutató a dokumentációs követelmények teljesítéséhez, az álnevesítésre, a minimalizálásra és a titkosításra vonatkozó sablonokkal, hogy csak néhányat említsünk;
- szerepkörök és felelősségi mátrix, amely segít megérteni, hogy ki felügyel bizonyos feladatokat és funkciókat.
a blog egy változata eredetileg 12 November 2018-án jelent meg.