Prawo o ochronie danych w Wielkiej Brytanii zmieniło się w wyniku Brexitu. Najnowsze wskazówki znajdziesz tutaj.
zgodnie z Ogólnym Rozporządzeniem o ochronie danych (RODO) organizacje muszą stworzyć politykę przechowywania danych, aby pomóc im zarządzać sposobem, w jaki przetwarzają dane osobowe.
jeśli zbyt długo przechowujesz poufne dane – nawet jeśli są one przechowywane w sposób bezpieczny i nie są wykorzystywane w niewłaściwy sposób – nadal możesz naruszać wymogi Rozporządzenia.
to może brzmieć zbyt surowo, ale jest ku temu dobry powód. Na tym blogu wyjaśniamy, dlaczego tak jest, jak działają zasady przechowywania danych i jak można je utworzyć zgodnie z wymogami RODO.
co to jest polityka przechowywania danych?
Polityka przechowywania danych to zestaw wytycznych, które pomagają organizacjom śledzić, jak długo informacje muszą być przechowywane i jak je usuwać, gdy nie są już potrzebne.
polityka powinna również określać cel przetwarzania danych osobowych. Gwarantuje to, że masz udokumentowany dowód uzasadniający okresy przechowywania i usuwania danych.
cele i cele
jeśli powrócisz do paniki, która poprzedzała wejście w życie RODO, doskonale zrozumiesz, dlaczego okresy przechowywania danych są niezbędne.
organizacje, które nie kontaktowały się z nami od lat, wyszły z ukrycia, aby poprosić o zgodę na przechowywanie naszych danych.
pokazało to, jak często nasze rekordy znajdują się w bazach danych organizacji długo po zakończeniu korzystania z ich usług.
organizacja nie chce pozbywać się informacji, ponieważ przechowywanie danych Klienta praktycznie nic nie kosztuje, ale ich przechowywanie niepotrzebnie naraża na zagrożenia bezpieczeństwa.
złamanie systemów organizacji wymaga tylko jednego pecha, niezależnie od tego, czy jest to cyberatak, czy błąd wewnętrzny.
aby ograniczyć szkody, jakie mogą spowodować naruszenia ochrony danych, organy regulacyjne nakazały organizacjom z siedzibą w UE przechowywanie danych osobowych tylko wtedy, gdy istnieje uzasadniony powód ich przechowywania.
jak długo można przechowywać dane osobowe?
pomimo wyraźnej surowości okresów przechowywania danych w RODO, nie ma zasad dotyczących ograniczenia przechowywania.
organizacje mogą zamiast tego ustalać własne terminy w oparciu o dowolne przyczyny, które uznają za stosowne. Jedynym wymogiem jest to, że organizacja musi udokumentować i uzasadnić, dlaczego ustaliła ramy czasowe, które ma.
decyzja powinna opierać się na dwóch kluczowych czynnikach: celu przetwarzania danych oraz wszelkich wymogach regulacyjnych lub prawnych dotyczących ich przechowywania.
dane nie powinny być przechowywane dłużej niż jest to konieczne i nie powinny być przechowywane „na wszelki wypadek”.
tak długo, jak jeden z celów nadal ma zastosowanie, możesz kontynuować przechowywanie danych.
należy również wziąć pod uwagę swoje wymogi prawne i regulacyjne dotyczące przechowywania danych. Na przykład, gdy dane podlegają podatkom i kontrolom lub spełniają określone standardy, należy przestrzegać wytycznych dotyczących przechowywania danych.
możesz zaplanować, w jaki sposób Twoje dane będą wykorzystywane i czy będą potrzebne do przyszłego wykorzystania, tworząc mapę przepływu danych. Ten proces jest również pomocny, jeśli chodzi o lokalizowanie danych i usuwanie ich po upływie okresu przechowywania.
istnieją dwa sposoby uniknięcia terminów przechowywania danych. Pierwszym z nich jest anonimizacja danych; oznacza to, że informacje nie mogą być połączone z możliwą do zidentyfikowania osobą, której dane dotyczą.
jeśli Twoje dane są anonimizowane, RODO pozwala Ci przechowywać je tak długo, jak chcesz.
należy jednak zachować ostrożność podczas robienia tego. Jeżeli informacje te mogą być wykorzystane wraz z innymi informacjami przechowywanymi przez organizację w celu identyfikacji osoby, nie są one odpowiednio zanonimizowane.
możesz również obejść terminy przechowywania danych, Jeśli informacje są przechowywane w celach archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
co zrobić z danymi po okresie przechowywania
po upływie terminu przechowywania danych masz dwie możliwości: usunąć je lub zanonimizować.
jeśli zdecydujesz się usunąć dane, musisz upewnić się, że wszystkie kopie zostały odrzucone. Aby to zrobić, musisz dowiedzieć się, gdzie są przechowywane dane. Czy to plik cyfrowy, papierowa Kopia czy jedno i drugie?
łatwo jest usunąć papierowe dane, ale Dane cyfrowe często pozostawiają ślad, a kopie mogą znajdować się w Zapomnianych serwerach plików i bazach danych.
aby zachować zgodność z RODO, musisz umieścić dane „poza zasięgiem”. Wszystkie kopie danych powinny zostać usunięte z systemów live i back-up.
jak utworzyć zasady przechowywania danych
zasady przechowywania danych powinny być częścią ogólnego procesu dokumentacji bezpieczeństwa informacji.
pierwszym krokiem jest uzyskanie pełnego obrazu dokładnie tego, jakie dane przetwarzasz, do czego są używane i jakie przepisy obowiązują w Twojej firmie.
te przepisy obejmują, ale nie muszą się do nich ograniczać, RODO. Na przykład, jeśli przetwarzasz dane karty debetowej lub kredytowej, możesz podlegać PCI DSS (Payment Card Industry Data Security Standard).
Podobnie, jeśli zamierzasz przestrzegać ISO 27001, międzynarodowej normy opisującej najlepsze praktyki w zakresie bezpieczeństwa informacji, musisz wziąć pod uwagę jej wymagania.
te wymagania dotyczące zgodności określają, jakie informacje muszą być zawarte w polityce i jakie zasady powinny być przestrzegane.
prosta Polityka przechowywania danych zajmie się:
- rodzaje informacji objętych polityką
różne rodzaje informacji będą podlegały różnym zasadom, więc musisz zachować zapis, jakie dane przetwarzasz – czy to nazwiska, adresy, dane kontaktowe, dokumentacja finansowa i tak dalej.
- jak długo masz prawo przechowywać informacje
klienci są czasami zaskoczeni, gdy mówimy im, że RODO nie określa konkretnych terminów przechowywania danych. Okres przechowywania danych przez użytkownika jest subiektywną decyzją, którą użytkownik podejmuje w oparciu o powody przetwarzania danych.
- co należy zrobić z danymi, gdy nie są już potrzebne
regularne usuwanie niepotrzebnych danych zmniejsza również ilość danych, które trzeba przesiać, aby spełnić żądania dostępu podmiotów. Zmniejsza również koszty przechowywania i zarządzania dokumentami.
regularne przeglądanie polityki przechowywania danych pozwala oczyścić dom i usunąć zduplikowane i nieaktualne pliki, aby uniknąć nieporozumień i przyspieszyć wszelkie niezbędne wyszukiwania.
Wypróbuj nasz szablon polityki przechowywania danych
tworzenie polityki przechowywania danych może wydawać się trudnym zadaniem, ale dzięki naszemu zestawowi narzędzi RODO Proces jest prosty.
zawiera wszystko, czego potrzebujesz, aby zachować zgodność z rozporządzeniem, w tym szablon polityki przechowywania danych RODO, który organizacje Brytyjskie mogą wykorzystać do sformalizowania twojego podejścia do zgodności, oszczędzając czas i pieniądze.
Ten zestaw narzędzi zawiera również:
- narzędzie do analizy luk, które można wykorzystać do pomiaru ogólnych praktyk zgodności;
- Wskazówki dotyczące wypełniania wymagań dotyczących dokumentacji, z szablonami pseudonimizacji, minimalizacji i szyfrowania, aby wymienić tylko kilka;
- macierz ról i obowiązków, która pomoże Ci zrozumieć, kto nadzoruje określone zadania i funkcje.
wersja tego bloga została pierwotnie opublikowana 12 listopada 2018.