Dataskyddslagen i Storbritannien har förändrats till följd av Brexit. Du hittar den senaste vägledningen här.
enligt den allmänna dataskyddsförordningen (GDPR) måste organisationer skapa en datalagringspolicy för att hjälpa dem att hantera hur de hanterar personuppgifter.
om du håller känslig information för länge – även om den hålls säkert och inte missbrukas – kan du fortfarande bryta mot förordningens krav.
det kan låta alltför strikt, men det finns en bra anledning till det. I den här bloggen förklarar vi varför så är fallet, hur datalagringspolicyer fungerar och hur du kan skapa en i linje med GDPR: s krav.
Vad är en datalagringspolicy?
en datalagringspolicy är en uppsättning riktlinjer som hjälper organisationer att hålla reda på hur länge informationen måste lagras och hur man kasserar informationen när den inte längre behövs.
policyn ska också beskriva syftet med behandlingen av personuppgifterna. Detta säkerställer att du har dokumenterat bevis som motiverar dina datalagrings-och bortskaffningsperioder.
mål och mål
om du kastar dig tillbaka till paniken som föregick GDPR träder i kraft, har du en helt god förståelse för varför datalagringsperioder är viktiga.
organisationer som inte hade interagerat med oss på flera år kom ut ur träverket för att be om vårt samtycke att behålla våra data.
det visade hur ofta våra register sitter i organisationens databaser långt efter att vi har slutat använda deras tjänster.
organisationen vill inte bli av med informationen, eftersom det kostar praktiskt taget ingenting att lagra kunduppgifter, men att hålla den onödigt utsätter den för säkerhetshot.
det tar bara en del otur för att en organisations system ska brytas, oavsett om det är en cyberattack eller ett internt fel.
så, för att begränsa den skada som dataöverträdelser kan orsaka, förordnade tillsynsmyndigheterna att EU-baserade organisationer endast måste behålla personuppgifter om det finns ett legitimt skäl för att behålla det.
hur länge kan personuppgifter lagras?
trots den uppenbara strängheten i GDPR: s datalagringsperioder finns det inga regler om lagringsbegränsning.
organisationer kan istället sätta sina egna tidsfrister baserat på vilka grunder de tycker är lämpliga. Det enda kravet är att organisationen måste dokumentera och motivera varför den har satt den tidsram den har.
beslutet bör baseras på två viktiga faktorer: syftet med behandlingen av uppgifterna och eventuella rättsliga eller rättsliga krav för att behålla dem.
Data bör inte hållas längre än vad som behövs och bör inte hållas ’ifall’ du har ett behov av det i framtiden.
så länge ett av dina syften fortfarande gäller kan du fortsätta lagra data.
du bör också överväga dina juridiska och lagstadgade krav för att behålla data. Till exempel, när uppgifterna är föremål för skatt och revisioner, eller för att följa definierade standarder, kommer det att finnas riktlinjer för lagring av data som du måste följa.
du kan planera hur dina data kommer att användas och om det kommer att behövas för framtida användning genom att skapa en dataflödeskarta. Denna process är också till hjälp när det gäller att hitta data och ta bort den när din lagringsperiod löper ut.
det finns två sätt du kan undvika tidsfrister för datalagring. Den första är genom anonymisering av data; Detta innebär att informationen inte kan kopplas till en identifierbar registrerad.
om dina uppgifter är anonymiserade tillåter GDPR dig att behålla dem så länge du vill.
du bör dock vara försiktig när du gör detta. Om informationen kan användas tillsammans med annan information som organisationen har för att identifiera en individ, är den inte tillräckligt anonymiserad.
du kan också kringgå datalagringsfrister om informationen sparas för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
vad ska man göra med data efter lagringsperioden
du har två alternativ när tidsfristen för lagring av data löper ut: ta bort den eller anonymisera den.
om du väljer att radera data måste du se till att alla kopior har kasserats. För att göra detta måste du ta reda på var data lagras. Är det en digital fil, papperskopia eller båda?
det är enkelt att radera pappersdata, men digitala data lämnar ofta ett spår och kopior kan finnas i glömda filservrar och databaser.
för att följa GDPR måste du sätta data ’bortom användning’. Alla kopior av data ska tas bort från live-och back-up-system.
hur man skapar en datalagringspolicy
din datalagringspolicy bör vara en del av din övergripande dokumentationsprocess för informationssäkerhet.
det första steget är att få en fullständig bild av exakt vilken data du behandlar, vad den används till och vilka regler som gäller för ditt företag.
dessa regler inkluderar, men är inte nödvändigtvis begränsade till, GDPR. Om du till exempel behandlar individers betal-eller kreditkortsinformation kan du bli föremål för PCI DSS (Payment Card Industry Data Security Standard).
på samma sätt, om du tänker följa ISO 27001, den internationella standarden som beskriver bästa praxis för informationssäkerhet, måste du notera dess krav.
dessa efterlevnadskrav kommer att diktera vilken information som måste ingå i din policy och de regler som den ska följa.
en enkel datalagringspolicy kommer att adressera:
- de typer av information som omfattas av policyn
olika typer av information kommer att omfattas av olika regler, så du måste registrera vilka uppgifter du behandlar – oavsett om det är namn, adresser, kontaktuppgifter, finansiella poster och så vidare.
- hur länge du har rätt att behålla information
kunder blir ibland förvånade när vi berättar för dem att GDPR inte anger specifika tidsgränser för data som ska hållas. Hur lång tid du har specifika uppgifter för är ett subjektivt beslut för dig att fatta baserat på dina skäl för behandlingen av uppgifterna.
- vad du ska göra med data när det inte längre behövs
regelbunden radering av onödiga data minskar också mängden data du behöver söka igenom för att följa ämnesåtkomstförfrågningar. Det minskar också kostnaderna för lagring och dokumenthantering.
genom att gå igenom din datalagringspolicy kan du regelbundet städa huset och ta bort duplicerade och föråldrade filer för att undvika förvirring och påskynda alla nödvändiga sökningar.
Prova vår mall för datalagringspolicy
att skapa en datalagringspolicy kan verka som en skrämmande uppgift, men med vår GDPR-verktygslåda görs processen enkel.
den innehåller allt du behöver för att följa förordningen, inklusive en GDPR – datalagringspolicymall som brittiska organisationer kan använda för att formalisera din inställning till efterlevnad samtidigt som du sparar tid och pengar.
denna verktygslåda innehåller också:
- ett Gap-analysverktyg som du kan använda för att mäta din övergripande efterlevnadspraxis;
- vägledning om hur du slutför dina dokumentationskrav, med mallar för pseudonymisering, minimering och kryptering, för att nämna några;
- en matris för roller och ansvar för att hjälpa dig att förstå vem som övervakar vissa uppgifter och funktioner.
en version av denna blogg publicerades ursprungligen den 12 November 2018.