Podľa GDPR nariadenia musia mať organizácie vypracovanú politiku uchovávania údajov, ktorá stanovuje lehoty a štandardy uchovávania údajov pre určité kategórie údajov, ktoré sa majú uplatňovať pri zničení alebo vymazaní určitých informácií.
Táto politika sa vzťahuje na všetky obchodné aktivity, procesy a systémy, v ktorých organizácia vykonáva obchodné činnosti a má obchodné vzťahy alebo iné obchodné vzťahy s tretími stranami.
Politika uchovávania údajov by mala byť súčasťou celkového procesu dokumentácie zabezpečenia informácií podľa požiadaviek GDPR nariadenia.
Politika uchovávania údajov by mala byť súčasťou celkového procesu dokumentácie zabezpečenia informácií podľa požiadaviek GDPR nariadenia.
Čo je politika uchovávania údajov?
Politika uchovávania údajov je súbor usmernení, ktoré pomáhajú organizáciám sledovať, ako dlho sa musia informácie uchovávať a ako ich likvidovať, keď už nie sú potrebné.
V politike by sa mal načrtnúť aj účel spracúvania osobných údajov. Tým sa zabezpečí, že máte zdokumentovaný dôkaz, ktorý odôvodňuje vaše obdobia uchovávania a likvidácie údajov.
V politike by sa mal načrtnúť aj účel spracúvania osobných údajov. Tým sa zabezpečí, že máte zdokumentovaný dôkaz, ktorý odôvodňuje vaše obdobia uchovávania a likvidácie údajov.
Účel politiky
Účelom je nastaviť pravidlá na uchovávania údajov a zodpovednosti na ich likvidáciu. Akonáhle sa organizácia rozhodne zlikvidovať údaje, tak údaje sa musia zlikvidovať v takej miere, ktorá zodpovedala ich hodnote a ich úrovni dôvernosti. Spôsob likvidácie sa líši a závisí od charakteru dokumentu.
Prvým krokom je získať úplný obraz o tom, aké osobné údaje presne spracúvate, na čo sa používajú a ktoré predpisy sa vzťahujú na vaše podnikanie. Na podmienky spracúvanie osobných údajov môže mať vplyv aj medzinárodná zmluva, kódex správania alebo štandard (napr. PCI DSS, ak spracúvate informácie o debetnej alebo kreditnej karte jednotlivcov).
Podobne, ak máte v úmysle dodržiavať normu ISO/IEC 27001, ktorá popisuje osvedčené postupy pre bezpečnosť informácií, musíte vziať na vedomie aj tieto požiadavky.
Prvým krokom je získať úplný obraz o tom, aké osobné údaje presne spracúvate, na čo sa používajú a ktoré predpisy sa vzťahujú na vaše podnikanie. Na podmienky spracúvanie osobných údajov môže mať vplyv aj medzinárodná zmluva, kódex správania alebo štandard (napr. PCI DSS, ak spracúvate informácie o debetnej alebo kreditnej karte jednotlivcov).
Podobne, ak máte v úmysle dodržiavať normu ISO/IEC 27001, ktorá popisuje osvedčené postupy pre bezpečnosť informácií, musíte vziať na vedomie aj tieto požiadavky.
Ako dlho sa môžu osobné údaje uchovávať?
Napriek zjavnej prísnosti období uchovávania údajov podľa GDPR nariadenia neexistujú žiadne pravidlá týkajúce sa obmedzenia doby uchovávania. Organizácie si musia stanoviť a aj obhájiť lehoty uchovávania údajov.
Stanovenie lehoty by sa malo zakladať na dvoch kľúčových faktoroch:
-
účele spracúvania údajov
-
a všetkých regulačných alebo právnych požiadavkách na ich uchovávanie
Čo robiť s údajmi po období uchovávania údajov
Po uplynutí lehoty uchovávania údajov máte dve možnosti: odstrániť ich alebo anonymizovať. Politika uchovávania údajov musí obsahovať plán likvidácie údajov.
Likvidácia tlačených údajov je relatívne jednoduchá. Na likvidáciu dokumentov sa môžu použiť skrartovacie zariadenia od rôznych dodávateľov s rôznymi stupňami dôvernosti (PT2, PT3, PT4). Treba mať však na pamäti, že skartovanie musí zodpovedať typu citlivosti spracúvaných údajov. Zároveň môžete využiť aj služby tretích strán (firiem), ktoré bezpečne a protokolárne zlikvidujú odovzdané dokumenty.
Údaje spracúvané v elektronickej podobe často zanechávajú rôzne stopy. Najčastejšie sú to zálohy a kópie, ktoré sa môžu nachádzať na súborových serveroch, v databázach alebo v e-mailoch. Pri likvidácii údajov spracúvaných v elektronickej podobe sa musia všetky kópie údajov odstrániť zo živých a záložných systémov.
Likvidácia tlačených údajov je relatívne jednoduchá. Na likvidáciu dokumentov sa môžu použiť skrartovacie zariadenia od rôznych dodávateľov s rôznymi stupňami dôvernosti (PT2, PT3, PT4). Treba mať však na pamäti, že skartovanie musí zodpovedať typu citlivosti spracúvaných údajov. Zároveň môžete využiť aj služby tretích strán (firiem), ktoré bezpečne a protokolárne zlikvidujú odovzdané dokumenty.
Údaje spracúvané v elektronickej podobe často zanechávajú rôzne stopy. Najčastejšie sú to zálohy a kópie, ktoré sa môžu nachádzať na súborových serveroch, v databázach alebo v e-mailoch. Pri likvidácii údajov spracúvaných v elektronickej podobe sa musia všetky kópie údajov odstrániť zo živých a záložných systémov.
Vytvorenie politiky uchovávania údajov sa môže zdať ako skľučujúca úloha. Preto neváhajte nás kontaktovať a požiadať nás o pomoc. Môžeme vám poskytnúť našu šablónu, ktorú si upravíte podľa svojich predstáv alebo politiku vypracujeme za vás.
IOSEC