Czy prawidłowo zarządzasz usuwaniem danych osobowych w ramach RODO? Czy wszyscy w Twojej organizacji wiedzą, co i kiedy usunąć? Może wydawać się to łatwym zadaniem, ale wielu pracowników odpowiedzialnych za bezpieczeństwo danych w wielu firmach nadal zmaga się z tym problemem.
Jak więc zapobiec ryzyku nieprawidłowego usunięcia danych i czym różni się usuwanie i niszczenie danych? Czytaj dalej, aby dowiedzieć się, jak skutecznie połączyć aspekty bezpieczeństwa informacji, aby we właściwy sposób zarządzać usuwaniem danych w zgodzie z RODO.
Minimalizacja ilości danych umożliwiających identyfikację
Należy przechowywać informacje umożliwiające identyfikację tylko tak długo, jak jest to wymagane. W przypadku przekroczenia tego terminu należy przeprowadzić niszczenie danych w odpowiedni sposób.
Istnieje wiele różnych podejść, które można zastosować, aby przestrzegać tych zasad.
Dlaczego niszczenie danych osobowych jest tak ważne?
Być może masz ważny wymóg biznesowy dotyczący zbierania i przetwarzania danych osobowych. Być może robisz to w celu wsparcia działań marketingowych lub wypełnienia wcześniej zawartej umowy. Te dane zajmują miejsce w pamięci, z którym wiążą się koszty. Niesie to również za sobą ryzyko naruszenia danych, co może wiązać się z potencjalnym, ale nieznanym kosztem dla organizacji.
Niszczenie danych osobowych przy najbliższej okazji jest oczywiście koniecznością finansową. Nie tylko zmniejszy to ilość wymaganej przestrzeni dyskowej, ale również wyeliminuje ryzyko nieautoryzowanego naruszenia danych. Niektóre organizacje mogą mieć uzasadnienie biznesowe do przechowywania niektórych danych do przyszłych działań lub analiz. W takim przypadku powinni przyjrzeć się anonimizacji danych. Nie obniży to rachunku za przestrzeń dyskową, ale wyeliminuje ryzyko naruszenia danych osobowych.
Kiedy należy przeprowadzić niszczenie danych osobowych?
Na to pytanie niektórym organizacjom trudno jest odpowiedzieć. Wraz z nadejściem RODO nastąpiła zmiana kulturowa przechowywania wszystkich informacji na zawsze na próbę określenia, kiedy należy przeprowadzać niszczenie danych i informacje o różnych działaniach można bezpiecznie usunąć. Nie jest to łatwe przedsięwzięcie, ponieważ może istnieć wiele różnych powodów przechowywania informacji, w tym wymogi prawne i regulacyjne.
Identyfikacja odpowiednich okresów przechowywania niektórych rodzajów danych to ćwiczenie, które warto przeprowadzać w każdej organizacji. Właściciele firm powinni być świadomi, jakie wymagania biznesowe, prawne i regulacyjne muszą spełnić, zanim spróbują narzucić jakikolwiek rodzaj harmonogramu przechowywania informacji.
W przypadku danych, które można łatwo skategoryzować (podania o pracę, rejestry zakupów, informacje o emeryturach itp.), odpowiedni okres przechowywania powinien być dość łatwy do uzgodnienia z interesariuszami biznesowymi. Problem tkwi w danych nieustrukturyzowanych, które nie dają się tak łatwo skategoryzować. Najważniejszym z nich będzie oczywiście e-mail, ale nie będzie to jedyne źródło nieustrukturyzowanych i nieskategoryzowanych informacji.