Legea privind protecția datelor din Marea Britanie s-a schimbat ca urmare a Brexit. Puteți găsi cele mai recente orientări aici.
conform Regulamentului General privind protecția datelor (GDPR), organizațiile trebuie să creeze o politică de păstrare a datelor pentru a le ajuta să gestioneze modul în care gestionează informațiile personale.
dacă păstrați datele sensibile prea mult timp – chiar dacă sunt păstrate în siguranță și nu sunt utilizate în mod abuziv – este posibil să încălcați în continuare cerințele Regulamentului.
asta ar putea suna prea strict, dar există un motiv bun pentru asta. În acest blog, vă explicăm de ce este cazul, Cum funcționează politicile de păstrare a datelor și cum puteți crea una în conformitate cu cerințele GDPR.
ce este o politică de păstrare a datelor?
o politică de păstrare a datelor este un set de linii directoare care ajută organizațiile să urmărească cât timp trebuie păstrate informațiile și cum să elimine informațiile atunci când nu mai sunt necesare.
Politica ar trebui să contureze, de asemenea, scopul prelucrării datelor cu caracter personal. Acest lucru vă asigură că aveți dovezi documentate care justifică perioadele de păstrare și eliminare a datelor.
scopuri și obiective
dacă vă gândiți la panica care a precedat intrarea în vigoare a GDPR, veți înțelege perfect de ce perioadele de păstrare a datelor sunt esențiale.
organizațiile care nu au interacționat cu noi de ani de zile au ieșit din lemn pentru a cere consimțământul nostru pentru a păstra datele noastre.
acesta a arătat cât de des înregistrările noastre stau pe bazele de date ale organizației mult timp după ce am terminat de utilizat serviciile lor.
organizația nu dorește să scape de informații, deoarece nu costă practic nimic să stocheze detaliile clienților, dar păstrarea lor o expune inutil amenințărilor de securitate.
este nevoie de un singur ghinion pentru ca sistemele unei organizații să fie încălcate, fie că este vorba de un atac cibernetic sau de o eroare internă.
deci, pentru a limita daunele pe care le pot provoca încălcările datelor, autoritățile de reglementare au mandatat ca organizațiile cu sediul în UE să păstreze datele cu caracter personal numai dacă există un motiv legitim pentru păstrarea acestora.
cât timp pot fi stocate datele cu caracter personal?
în ciuda stricteții aparente a perioadelor de păstrare a datelor GDPR, nu există reguli privind limitarea stocării.
organizațiile își pot stabili propriile termene pe baza motivelor pe care le consideră potrivite. Singura cerință este ca organizația să documenteze și să justifice de ce a stabilit intervalul de timp pe care îl are.
decizia ar trebui să se bazeze pe doi factori cheie: scopul prelucrării datelor și orice cerințe de reglementare sau legale pentru păstrarea acestora.
datele nu trebuie păstrate mai mult decât este necesar și nu trebuie păstrate ‘doar în cazul în care’ veți avea nevoie de ele în viitor.
atâta timp cât unul dintre scopurile dvs. se aplică în continuare, puteți continua să stocați datele.
de asemenea, trebuie să luați în considerare cerințele legale și de reglementare pentru a păstra datele. De exemplu, atunci când datele sunt supuse taxelor și auditurilor sau pentru a respecta standardele definite, vor exista reguli de păstrare a datelor pe care trebuie să le urmați.
puteți planifica modul în care datele dvs. vor fi utilizate și dacă vor fi necesare pentru o utilizare viitoare, creând o hartă a fluxului de date. Acest proces este, de asemenea, util atunci când vine vorba de localizarea datelor și eliminarea acestora după expirarea perioadei de păstrare.
există două modalități prin care puteți evita termenele de păstrare a datelor. Primul este prin anonimizarea datelor; aceasta înseamnă că informațiile nu pot fi conectate la un subiect de date identificabil.
dacă datele dvs. sunt anonimizate, GDPR vă permite să le păstrați atât timp cât doriți.
ar trebui să fiți atenți atunci când faceți acest lucru. Dacă informațiile pot fi utilizate împreună cu alte informații pe care organizația le deține pentru a identifica o persoană, atunci acestea nu sunt anonimizate în mod adecvat.
de asemenea, puteți eluda termenele de păstrare a datelor dacă informațiile sunt păstrate în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice.
ce trebuie să faceți cu datele care au trecut de perioada de păstrare
aveți două opțiuni la expirarea termenului de păstrare a datelor: ștergeți-le sau anonimizați-le.
dacă optați pentru ștergerea datelor, trebuie să vă asigurați că toate copiile au fost eliminate. Pentru a face acest lucru, va trebui să aflați unde sunt stocate datele. Este un fișier digital, pe suport de hârtie sau ambele?
este ușor să ștergeți datele pe suport de hârtie, dar datele digitale lasă adesea urme și copiile pot locui în servere de fișiere și baze de date uitate.
pentru a respecta GDPR, va trebui să puneți datele în afara utilizării. Toate copiile datelor trebuie eliminate din sistemele live și back-up.
cum se creează o politică de păstrare a datelor
politica dvs. de păstrare a datelor ar trebui să facă parte din procesul general de Documentare privind securitatea informațiilor.
primul pas este să obțineți o imagine completă a datelor pe care le prelucrați, pentru ce sunt utilizate și ce reglementări se aplică afacerii dvs.
aceste reglementări includ, dar nu sunt neapărat limitate la, GDPR. De exemplu, dacă procesați informațiile de debit sau de card de credit ale persoanelor, este posibil să fiți supus PCI DSS (standardul de securitate a datelor din industria cardurilor de plată).
în mod similar, dacă intenționați să respectați ISO 27001, standardul internațional care descrie cele mai bune practici pentru securitatea informațiilor, trebuie să țineți cont de cerințele acestuia.
aceste cerințe de conformitate vor dicta ce informații trebuie incluse în politica dvs. și regulile pe care ar trebui să le respecte.
o politică simplă de păstrare a datelor va aborda:
- tipurile de informații acoperite de politică
diferite tipuri de informații vor fi supuse unor reguli diferite, deci trebuie să păstrați o evidență a datelor pe care le prelucrați – indiferent dacă acestea sunt nume, adrese, detalii de contact, înregistrări financiare și așa mai departe.
- cât timp aveți dreptul să păstrați informații
clienții sunt uneori surprinși când le spunem că GDPR nu stabilește termene specifice pentru păstrarea datelor. Durata de timp pentru care dețineți anumite date este o decizie subiectivă pe care trebuie să o luați pe baza motivelor dvs. pentru prelucrarea datelor.
- ce trebuie să faceți cu datele atunci când acestea nu mai sunt necesare
ștergerea regulată a datelor inutile reduce, de asemenea, cantitatea de date pe care trebuie să o setați pentru a respecta solicitările de acces ale subiectului. De asemenea, reduce costurile de stocare și gestionare a documentelor.
parcurgerea regulată a politicii de păstrare a datelor vă permite să curățați casa și să eliminați fișierele duplicate și învechite pentru a evita confuzia și a accelera căutările necesare.
încercați șablonul nostru de politică de păstrare a datelor
crearea unei politici de păstrare a datelor poate părea o sarcină descurajantă, dar cu setul nostru de instrumente GDPR, procesul este simplificat.
acesta conține tot ce aveți nevoie pentru a respecta Regulamentul, inclusiv un șablon de politică de păstrare a datelor GDPR pe care organizațiile din Marea Britanie îl pot utiliza pentru a vă formaliza abordarea conformării, economisind timp și bani.
acest set de instrumente conține, de asemenea:
- un instrument de analiză a decalajelor pe care îl puteți utiliza pentru a măsura practicile generale de conformitate;
- îndrumări privind modul de completare a cerințelor dvs. de documentare, cu șabloane privind pseudonimizarea, minimizarea și criptarea, pentru a numi câteva;
- o matrice de roluri și responsabilități pentru a vă ajuta să înțelegeți cine supraveghează anumite sarcini și funcții.
o versiune a acestui blog a fost publicată inițial pe 12 noiembrie 2018.