Jazyk webu:
Jak napsat politiku uchovávání údajů GDPR

Jak napsat politiku uchovávání údajů GDPR

Podle GDPR nařízení musí mít organizace vypracovanou politiku uchovávání údajů, která stanovuje lhůty a standardy uchovávání údajů pro určité kategorie údajů, které se mají použít při zničení nebo vymazání určitých informací.
Tato politika se vztahuje na všechny obchodní aktivity, procesy a systémy, ve kterých organizace provádí obchodní činnosti a má obchodní vztahy nebo jiné obchodní vztahy s třetími stranami.

Politika uchování údajů by měla být součástí celkového procesu dokumentace zabezpečení informací dle požadavků GDPR nařízení.

Co je politika uchovávání údajů?

Politika uchovávání údajů je soubor pokynů, které pomáhají organizacím sledovat, jak dlouho musí být informace uchovávat a jak je likvidovat, když už nejsou potřeba.

V politice by měl nastínit i účel zpracování osobních údajů. Tím se zajistí, že máte zdokumentovaný důkaz, který odůvodňuje vaše období uchovávání a likvidace dat.

Účel politiky

Účelem je nastavit pravidla pro uchovávání údajů a odpovědnosti na jejich likvidaci. Jakmile se organizace rozhodne zlikvidovat údaje, tak údaje se musí zlikvidovat v takové míře, která odpovídala jejich hodnotě a jejich úrovni důvěrnosti. Způsob likvidace se liší a závisí na charakteru dokumentu.

Prvním krokem je získat úplný obraz o tom, jaké osobní údaje přesně zpracováváte, na co se používají a které předpisy se vztahují na vaše podnikání. Na podmínky zpracování osobních údajů může mít vliv i mezinárodní smlouva, kodex chování nebo standard (např. PCI DSS, pokud zpracováváte informace o debetní nebo kreditní kartě jednotlivců).

Podobně, pokud máte v úmyslu dodržovat normu ISO/IEC 27001, která popisuje osvědčené postupy pro bezpečnost informací, musíte vzít na vědomí i tyto požadavky.

Jak dlouho se mohou osobní údaje uchovávat?

Navzdory zjevné přísnosti období uchovávání údajů podle GDPR nařízení neexistují žádná pravidla týkající se omezení doby uchovávání. Organizace si musí stanovit a také obhájit doby uchovávání dat.

Stanovení lhůty by mělo být založeno na dvou klíčových faktorech:
  • účelu zpracování údajů 
  • a všech regulačních nebo právních požadavcích na jejich uchovávání

Co dělat s údaji po období uchovávání údajů

Po uplynutí doby uchovávání dat máte dvě možnosti: odstranit je nebo anonymizovány. Politika uchovávání údajů musí obsahovat plán likvidace dat.

Likvidace tištěných údajů je relativně jednoduchá. Na likvidaci dokumentů lze použít skrartovacie zařízení od různých dodavatelů s různými stupni důvěrnosti (PT2, PT3, PT4). Třeba mít však na paměti, že skartování musí odpovídat typu citlivosti zpracovávaných dat. Zároveň můžete využít i služby třetích stran (firem), které bezpečně a protokolárně zlikvidují předány dokumenty.

Údaje zpracovávané v elektronické podobě často zanechávají různé stopy. Nejčastěji jsou to zálohy a kopie, které se mohou nacházet na souborových serverech, v databázích nebo v emailech. Při likvidaci údajů zpracovávaných v elektronické podobě se musí všechny kopie údajů odstranit ze živých a záložních systémů.

Vytvoření politiky uchovávání údajů se může zdát jako skličující úkol. Proto neváhejte nás kontaktovat a požádat nás o pomoc. Můžeme vám poskytnout naši šablonu, kterou si upravíte podle svých představ nebo politiku vypracujeme za vás.