Pentru cat timp pot fi pastrate datele cu caracter personal si cand este necesara revizuirea lor?
1. Principiul limitarii stocarii datelor cu caracter personal este similar celui de-al cincilea principiu (retinerea datelor) din Legea nr. 677/2001 (in prezent abrogata) si presupune ca datele personale sa nu fie pastrate mai mult decat este necesar.
2. Cu ce vine in plus Regulamentul (UE) 679/2016 fata de reglementarea anterioara? Potrivit principiului enuntat, operatorii ar fi nevoiti sa stabileasca anumite perioade de stocare (retinere) a datelor personale. Regulamentul nu prevede limite minime sau maxime de pastrare a datelorcu caracter personal, lucru firesc de altfel.
3. Art. 5 Principii alin. (1) lit. e) din Regulamentul general privind protectia datelor si de asemenea, art. 5 alin. (4) lit. e) din Conventia pentru protectia persoanelor cu privire la prelucrarea automata a datelor cu caracter personal, cunoscuta sub numele de Conventia 108 , stipuleaza ca datele cu caracter personal trebuie sa fie pastrate intr-o forma care sa permita identificarea persoanelor vizate pentru nu mai mult decat este necesar pentru scopurile pentru care sunt prelucrate. Cu alte cuvinte, datele cu caracter personal trebuie sa fie pastrate pe perioada necesara indeplinirii scopurilor in care sunt prelucrate sisterse sau anonimizate atunci cand aceste scopuri au fost realizate. In acestscop, operatorul de date cu caracter personal trebuie sa stabileasca termene-limita pentru stergere sau pentru o revizie periodica pentru a se asigura ca datele nu sunt pastrate mai mult timp decat cel necesar (Considerentului 39 din Regulament).
4. In cele mai multe dintre situatii, determinarea scopului activitatilor de prelucrare a datelor cu caracter personal are la baza reglementarile europene sau dreptul intern aplicabil unei anumite activitati de prelucrare, reglementari care conduc la insasi conditiile generale ale Regulamentului (UE) 679/2016 care reglementeaza legalitatea prelucrarii datelorcu caracter personal (necesitatea executariisau incheierii unuicontract, necesitatea indeplinirii unei obligatii legale, interesul legitim al operatorului sau al unei terte partis.a.m.d.). Pot exista sisituatii in care scopul activitatilor de prelucrare poate sa fie chiar si buna functionare a activitatii propriu-zise a operatorului, adica operatorul are un interes legitim sa-si desfasoare activitatea, nefiind nevoie sa existe neaparat o prevedere legala expresa care sa intemeieze o anumita activitate de prelucrare dintre cele la care ne referim.
5. In unele situatii, legea stabileste in mod expres un anumit termen minimal si obligatoriu de pastrare a diverselorcategorii de documente ce contin date cu caracter personal, caz in care operatorii de date nu ar trebui sa preintampine dificultati la stabilirea unor perioade de stocare a datelor. Exista insa si situatii in care regasim indicata doar obligatia pastrarii anumitor categorii de documente sau nu regasim nicio referire, desi operatorul are un interes legitim in pastrarea lor, ipoteze ridica dificultati pentru operatorii de date cu caracter personal.
2. Cu ce vine in plus Regulamentul (UE) 679/2016 fata de reglementarea anterioara? Potrivit principiului enuntat, operatorii ar fi nevoiti sa stabileasca anumite perioade de stocare (retinere) a datelor personale. Regulamentul nu prevede limite minime sau maxime de pastrare a datelorcu caracter personal, lucru firesc de altfel.
3. Art. 5 Principii alin. (1) lit. e) din Regulamentul general privind protectia datelor si de asemenea, art. 5 alin. (4) lit. e) din Conventia pentru protectia persoanelor cu privire la prelucrarea automata a datelor cu caracter personal, cunoscuta sub numele de Conventia 108 , stipuleaza ca datele cu caracter personal trebuie sa fie pastrate intr-o forma care sa permita identificarea persoanelor vizate pentru nu mai mult decat este necesar pentru scopurile pentru care sunt prelucrate. Cu alte cuvinte, datele cu caracter personal trebuie sa fie pastrate pe perioada necesara indeplinirii scopurilor in care sunt prelucrate sisterse sau anonimizate atunci cand aceste scopuri au fost realizate. In acestscop, operatorul de date cu caracter personal trebuie sa stabileasca termene-limita pentru stergere sau pentru o revizie periodica pentru a se asigura ca datele nu sunt pastrate mai mult timp decat cel necesar (Considerentului 39 din Regulament).
4. In cele mai multe dintre situatii, determinarea scopului activitatilor de prelucrare a datelor cu caracter personal are la baza reglementarile europene sau dreptul intern aplicabil unei anumite activitati de prelucrare, reglementari care conduc la insasi conditiile generale ale Regulamentului (UE) 679/2016 care reglementeaza legalitatea prelucrarii datelorcu caracter personal (necesitatea executariisau incheierii unuicontract, necesitatea indeplinirii unei obligatii legale, interesul legitim al operatorului sau al unei terte partis.a.m.d.). Pot exista sisituatii in care scopul activitatilor de prelucrare poate sa fie chiar si buna functionare a activitatii propriu-zise a operatorului, adica operatorul are un interes legitim sa-si desfasoare activitatea, nefiind nevoie sa existe neaparat o prevedere legala expresa care sa intemeieze o anumita activitate de prelucrare dintre cele la care ne referim.
5. In unele situatii, legea stabileste in mod expres un anumit termen minimal si obligatoriu de pastrare a diverselorcategorii de documente ce contin date cu caracter personal, caz in care operatorii de date nu ar trebui sa preintampine dificultati la stabilirea unor perioade de stocare a datelor. Exista insa si situatii in care regasim indicata doar obligatia pastrarii anumitor categorii de documente sau nu regasim nicio referire, desi operatorul are un interes legitim in pastrarea lor, ipoteze ridica dificultati pentru operatorii de date cu caracter personal.
| Spre exemplu, art. 25 alin. (1) din Legea contabilitatii nr. 82/1991 stabileste ca registrele de contabilitate obligatorii si documentele justificative care stau la baza inregistrarilor in contabilitatea financiara se pastreaza in arhiva persoanelor juridice timp de 10 ani, cu incepere de la data incheierii exercitiului financiar in cursul caruia au fost intocmite, cu exceptia statelor de salarii, care se pastreaza timp de 50 de ani. Scopul prelucarii este dat de insesi dispozitiile Legii contabilitatii, legalitatea prelucrarii datelor cuprinse in documentele justificative este data de necesitatea respectarii unei dispozitii legale prevazute de dreptul intern (conform art. 6 alin. (1) lit. c) din Regulament), in acest caz, perioada de stocare minima obligatorie fiind prevazuta de lege. |
In aceeasi ordine de idei pot fi date si alte exemple, cum ar fi termenul de prescriptie de 3 ani termen prevazut de art. 171 din Codul muncii pentru exercitarea dreptului la actiune cu privire la drepturile salariale, precum si cu privire la daunele rezultate din neexecutarea in totalitate sau in parte a obligatiilor privind plata salariilor. Atentie! La stabilirea perioadei de pastrare a documentatiei aferente ce contine date cu caracter personal se au in vedere inclusiv cazurile de intrerupere si suspendare a termenului de prescriptie.
| IMPORTANT! La stabilirea perioadelor de stocare a datelor cu caracter personal trebuie sa tineti cont de situatiile ce pot aparea in practica (de exemplu: situatia unui control efectuat de organele abilitate caz in care trebuie sa fiti in masura sa prezentati anumite categorii de documente ce contin date personale sau situatia unor actiuni in justitie indreptate impotriva companieisau chiar intentate de catre aceasta caz in care trebuie sa fiti in masura de a prezenta sau de a face dovada cu documentatia aferenta relevanta) intrucat, chiar daca in anumite situatii insasi legea stabileste un anumit termen minim de pastrare, acest lucru nu exclude necesitatea ca datele sa fie pastrate o perioada mai lunga de timp uneorichiar justificat de o alta dispozitie legala care prevede un termen de pastrare mai indelungat. |
De asemenea, in situatia datelor cu caracter personal manipulate in considerarea incheierii sau executarii unui contract este posibil sa aveti motive in pastrarea documentatiei ce atesta insasi executarea clauzelor contractuale (si nu numai), inclusiv dupa ce acesta a incetat in a-si mai produce efecte. Pot exista situatii in care pentru diferite documente indisolubile sau care fac dovada unui anumit fapt/operatiuni in lant / unele prin altele , dispozitiile legale sa indice termene de pastrare minime obligatorii diferite, situatie in care recomandam sa luati in considerare termenul de pastrare cel mai indelungat pentru intreg setul de documente de acest tip. Aceste chestiuni au relevanta in diverse situatii de natura litigioasa care se pot ivi.
6. In realitate, termenul-limita de pastrare a datelor cu caracter personal este dat de durata oricaruia dintre scopurile activitatilor de prelucrare, scopuri care se pot schimba/succeda in decursul activitatii propriu-zise a operatorului. Daca avem in vedere faptul ca activitatile ce presupun prelucrarea datelorcu caracter personal nu de putine ori sunt repetitive, astfel incat pare ca majoritatea datelor personale, in cele mai multe cazuri, ar putea fi pastrate pe toata durata de existenta a operatorului.
7. Intelesul afirmatiei datele cu caracter personal trebuie sa fie stocate pentru o perioada cat mai scurta , poate fi inselator, putand indemna operatorii de date, din dorinta respectarii dispozitiilor Regulamentului, sa elimine prematur date cu caracter personal pretioase.
8. Care ar fi riscul ne-stabilirii unor perioade de stocare a datelorcu caracter personal? Datele personale pastrate prea mult timp vor deveni inutile,caz in care este putin probabil sa existe o baza legala pentru stocarea lor. Din perspective practice, dezavantajele pot fi reprezentate de costurile suplimentare asociate stocarii si asigurarii securitatii datelor personale inutile sau de ingreunare a identificarii celor necesare (de exemplu, in cazul formularii de catre persoana vizata a uneicereri de acces).
9. Pentru a evita neajunsurile la care ne-am referit o sugestie care poate fi luata in considerare este stabilirea unei cadente pentru activitatea de analiza a relevantei datelorcu caracter personal colectate si aflate pe diferite paliere de prelucrare. Desi aceasta sugestie pare simplu de pus in practica, in realitate costurile separarii datelor inutile de cele utile,sicare, deci, ar trebuisterse, potsa fie destul de mari. Cu alte cuvinte, decelarea datelor in scopul limitarii stocarii si stergerii lor poate necesita costuri semnificative.
| IMPORTANT! Eliminarea datelor cu caracter personal trebuie sa fie atent gandita si temeinic fundamentata. Perioadele de stocare a datelor cu caracter personal ar trebui sa tina seama de motivele pentru care organizatia trebuie sa le prelucreze, precum si de orice obligatii legale si/ contractuale existente in sarcina operatorului de a pastra datele pentru o perioada determinata de timp si nu in ultimul rand, de interesele de business ale operatorului. |
| STIATI CA? Referiri cu privire la principiul enuntat mai regasim in cuprinsul Regulamentului (UE) 679/2016:
|
Intelegerea informatiilor care trebuie pastrate si a eliminarii informatiilorcare nu maisunt necesare reprezinta o parte importanta a gestionarii eficiente a datelor cu caracter personal. Actiunea de eliminare a datelor personale este ceva de care trebuie sa va ocupati inclusiv cu luarea in considerare a legislatiei privind accesul la informatii de interes public si a celei privind protectia datelor cu caracter personal.
Cu toate acestea, eliminarea datelor cu caracter personal trebuie facuta in mod responsabil, printr-o intelegere clara a:
- Organizarii si functionarii organizatiei
- Importantei datelorcu caracter personal pentru intreprindere
- Cerintelor de pastrare a datelor in baza legii, inclusiv a informatiilor cu valoare istorica in conformitate cu legislatia privind informatiile de interes public si a legislatiei privind arhivarea in Arhivele Nationale
- Resurselor tehnologice care sustin datele cu caracter personal.
Indrumari:
1. Intelegerea masurilor care trebuie luate
Gestionarea planificata a informatiilor care se regasesc pe suport de hartie reprezinta o actiune fireasca a activitatii unei organizatii, dar aceasta nu incorporeaza informatiile digitale.
Aceasta actiune este partiala deoarece informatiile sunt distribuite intr-o gama larga de sisteme electronice, atat in interiorul, cat si in afara organizatiei de exemplu:
1. Intelegerea masurilor care trebuie luate
Gestionarea planificata a informatiilor care se regasesc pe suport de hartie reprezinta o actiune fireasca a activitatii unei organizatii, dar aceasta nu incorporeaza informatiile digitale.
Aceasta actiune este partiala deoarece informatiile sunt distribuite intr-o gama larga de sisteme electronice, atat in interiorul, cat si in afara organizatiei de exemplu:
- sisteme de management ale documentelor si inregistrarilor
- unitati comune si personale
- sisteme de colaborare
- baze de date
- sisteme de e-mail, inclusiv arhive de e-mail
- informatii web aferente retelelor de socializare.
Pentru multe dintre aceste sisteme, informatiile ar trebui gestionate separat. Pe masura ce volumul informatiilor digitale creste si acestea se invechesc, urgenta acestei situatii creste.
Oportunitati
Responsabilitatea cu privire la eliminarea informatiilor prezinta oportunitati semnificative in ceea ce priveste:
Oportunitati
Responsabilitatea cu privire la eliminarea informatiilor prezinta oportunitati semnificative in ceea ce priveste:
- reducerea costurilor de depozitare si intretinere prin separarea informatiilor necesare activitatii desfasurate;
- sporirea eficientei prin facilitarea gasirii si utilizarii informatiilor de care aveti nevoie;
- sprijinirea respectarii regulilor stabilite prin acordarea de asistenta.
Riscuri
Pastrarea informatiilor mai mult decat este necesar expune activitatea organizatiei la riscuri, cum ar fi:
Pastrarea informatiilor mai mult decat este necesar expune activitatea organizatiei la riscuri, cum ar fi:
- cost exista costuri semnificative in ceea ce priveste mentinerea, pastrarea si punerea la dispozitie a informatiilor digitale persoanei vizate si cu cat detineti mai multe informatii, cu atat costurile vor fi mai mari. De asemenea, nerespectarea legislatiei privind protectia datelor poate conduce la sanctiuni financiare ;
- eficienta pastrarea prea multor informatii va impiedica performanta sistemelor digitale si va face dificila gasirea informatiilor de care aveti nevoie pentru a va indeplini sarcinile. De asemenea, este dificil sa mentineti cantitati mari de informatii digitale sisa va asiguratica suntcomplete, disponibile si utilizabile atata timp cat aveti nevoie de ele;
- reputatia nu gestionarea informatiilor intr-o maniera responsabila si in timp util va pune organizatia in pericol, din motive ce tin de incalcarea in context a dispozitiilor privind protectia datelor cu caracter personal.
2. Cunoasterea informatiilor pe care le detineti
Ce face organizatia dumneavoastra? Ar trebui sa incepeti cu o intelegere clara a activitatii organizatiei.
Acordati o atentie deosebita oricaror functii de baza sau statutare, deoarece este posibil ca aceste zone sa creeze/sa detina cele mai importante informatii. Intelegerea imaginii de ansamblu va fi de mare ajutor in intelegerea importantei informatiilor pe care le detineti.
Identificarea informatiilor prin intermediul unui audit. Trebuie sa conlucraticu departamentele din cadul organizatiei, din toate domeniile de activitate pentru a identifica informatiile pe care le creeaza, manipuleaza, primeste si distribuie. Trebuie sa luati in considerare toate tipurile de informatii, indiferent de formatul acestora.
Aflati care sunt sistemele in care se regasesc aceste informatii. Luati in considerare toate sursele digitale, de exemplu: sisteme electronice de gestionare a documentelor si inregistrarilor, sisteme de colaborare, sisteme de e-mail, intranet, internet, sisteme de management, retele sociale etc.
Nu este suficient sa stiti pur si simplu ce sisteme exista, ci trebuie sa intelegeti:
Ce face organizatia dumneavoastra? Ar trebui sa incepeti cu o intelegere clara a activitatii organizatiei.
Acordati o atentie deosebita oricaror functii de baza sau statutare, deoarece este posibil ca aceste zone sa creeze/sa detina cele mai importante informatii. Intelegerea imaginii de ansamblu va fi de mare ajutor in intelegerea importantei informatiilor pe care le detineti.
Identificarea informatiilor prin intermediul unui audit. Trebuie sa conlucraticu departamentele din cadul organizatiei, din toate domeniile de activitate pentru a identifica informatiile pe care le creeaza, manipuleaza, primeste si distribuie. Trebuie sa luati in considerare toate tipurile de informatii, indiferent de formatul acestora.
Aflati care sunt sistemele in care se regasesc aceste informatii. Luati in considerare toate sursele digitale, de exemplu: sisteme electronice de gestionare a documentelor si inregistrarilor, sisteme de colaborare, sisteme de e-mail, intranet, internet, sisteme de management, retele sociale etc.
Nu este suficient sa stiti pur si simplu ce sisteme exista, ci trebuie sa intelegeti:
- ciclul de viata al resurselor tehnologice stiind cand un sistem se apropie de sfarsitul duratei sale de viata utila va va ajuta sa planificati modernizarea sau achizitionarea de noi sisteme, migrarea informatiilor in functie de necesitati;
- interdependentele dintre sisteme daca vreunul dintre sisteme se bazeaza pe alte sisteme pentru a functiona corect.
Departamentul IT ar trebui sa aiba deja o evidenta a acestor informatii, astfel incat este important sa lucrati indeaproape cu acesta. Aceste cunostinte va vor ajuta sa luati decizii cu privire la ce tip de tehnologie aveti de fapt nevoie pentru a va sustine informatiile.
Este posibil ca mai multe copii ale documentelor sa fie tinute in cadrul sistemelor digitale si de multe ori exista o justificare de business pentru acest lucru. Ar trebui sa identificati si sa eliminati orice duplicate daca acestea nu au valoare comerciala. Exista multe instrumente care va pot ajuta sa identificati informatiile duplicate, inclusiv DROID, care este un instrument software open source, gratuit, de identificare a fisierelor, pe care il puteti rula cu privire la informatiile stocate in format digital.
Ar trebui sa inregistrati rezultatele intr-o foaie de calculsau intr-o baza de date. Asigurati-va ca ati capturat cel putin urmatoarele informatii, desi recomandam sa includeti mai multe informatii:
Este posibil ca mai multe copii ale documentelor sa fie tinute in cadrul sistemelor digitale si de multe ori exista o justificare de business pentru acest lucru. Ar trebui sa identificati si sa eliminati orice duplicate daca acestea nu au valoare comerciala. Exista multe instrumente care va pot ajuta sa identificati informatiile duplicate, inclusiv DROID, care este un instrument software open source, gratuit, de identificare a fisierelor, pe care il puteti rula cu privire la informatiile stocate in format digital.
Ar trebui sa inregistrati rezultatele intr-o foaie de calculsau intr-o baza de date. Asigurati-va ca ati capturat cel putin urmatoarele informatii, desi recomandam sa includeti mai multe informatii:
- tipul de informatii;
- detinatorul informatiilor
- cat timp ar trebui pastrate informatiile pana, spre exemplu, la transferul la Arhivele Nationale;
- de ce informatiile trebuie pastrate, de exemplu, din motive legale sau de alta natura pentru o anumita perioada si incercati sa reglementati actiunea de eliminare a datelor;
- restrictii privind accesul;
- unde se afla informatiile
Exista o serie de sabloane, cum ar fi programele de distribuire, evidentele activitatilor de prelucrare. Este posibil ca organizatia dumneavoastra sa utilizeze toate sau unele dintre acestea. Ar putea fi riscantsa inregistrati aceste informatii intr-o singura locatie. Important este ca aceste informatii sa fie inregistrate si actualizate.
Aceasta nu este o sarcina care sa fie facuta o singura data intrucat in cadrul organizatiei apar schimbari, de exemplu, in privinta personalului. Este important sa desemnati anumite persoane care sa supravegheze programele si procesele asociate,care vortrebui de asemenea revizuite periodic si actualizate. Recomandam sa le revizuiti anualsau ori de cate ori intervin schimbari semnificative, de exemplu, o schimbare organizationala sau tehnologica.
3. Intelegerea importantei informatiilor
Toate actiunile in gestionarea informatiilor trebuie sa se bazeze pe intelegerea importantei pe care informatiile o aduc organizatiei.
Categorii de valori:
- Informatii care trebuie sa fie pastrate in temeiul legii
Anumite acte legislative, asa cum am evidentiat maisus, au stabilit tipurile de informatii care trebuie pastrate si cat timp ar trebui pastrate pentru, de exemplu, legislatia privind sanatatea sisecuritatea la locul de munca sau cea a documentelor financiarcontabile. Departamentele aferente din cadrul organizatiei trebuie sa cunoasca cerintele legislative de pastrare a inregistrarilor.
Informatiicare au o valoare comerciala continua
In aceasta categorie intra informatiile care sunt necesare pentru a indeplini obiectul de activitate al companiei sau pentru a furniza dovezi ale unei activitati economice. Este esential sa lucrati cu departamentele organizatiei pentru a decide ce trebuie mentinut in scopuri comerciale. Personalul din cadrul departamentelor aferente ar trebui sa stie ce date cu caracter personal prelucreaza zilnic si cat timp au nevoie de ele.
- Informatii care au valoare de reutilizare
De asemenea, este importantsa analizati daca datele ar putea avea o valoare din perspectiva reutilizarii. De exemplu, anumite institutii publice sunt incurajate sa publice cat mai multe seturi de date posibile si informatiile pe care le contin pot fi folosite de persoane din afara entitatii in moduri inovatoare, de exemplu, de a crea noi aplicatii digitale. In acestcaz exista si risculca informatiile sa fie folosite de terte persoane in scopuri nelegale
Informatii care au valoare istorica
Informatiile cu valoare istorica suntcele care ar trebui alese pentru conservarea permanenta in Arhivele Nationale. Acestea vor include documente strategice semnificative, inregistrari ale deciziilor importante, documente despre evenimente notabile, persoane sau probleme publice.
Deciziile privind importanta informatiilor ar trebui sa se bazeze mai degraba pe continut si pe context decat pe format.
Folosirea criteriului importantei datelor cu caracter personal pentru a lua decizii
Odata ce intelegeti importanta informatiilor, puteti incepe sa luati decizii sensibile cu privire la modul de gestionare a acestora. De exemplu:
Daca aveti informatiicare au o importanta sau sunt relevante pe termen scurt, nu doriti sa suportaticosturile de mentinere a acestora peste durata utila.Depozitarea poate fi ieftina (si este discutabila), dar este costisitor sa se mentina,sa se pastreze sisa se asigure accesul la aceste informatii in timp.
Pentru informatii cu un grad de importanta pe termen mediu si lung care sunt necesare pentru a efectua sau a furniza dovezi ale unei anumite activitati sau care au o valoare istorica, trebuie sa aveti la dispozitie politici, procese si sisteme adecvate pentru a va asigura ca puteti gasi, deschide, intelege si lucra cu informatiile cat timp doriti.
Asigurati-va ca personalul intelege importanta datelor cu caracter personal.
Ar trebui sa va asigurati ca personalul din cadrul organizatiei stie ce informatii ar trebui sa tina, de ce si unde. Unele metode comune de a face acest lucru sunt:
Aceasta nu este o sarcina care sa fie facuta o singura data intrucat in cadrul organizatiei apar schimbari, de exemplu, in privinta personalului. Este important sa desemnati anumite persoane care sa supravegheze programele si procesele asociate,care vortrebui de asemenea revizuite periodic si actualizate. Recomandam sa le revizuiti anualsau ori de cate ori intervin schimbari semnificative, de exemplu, o schimbare organizationala sau tehnologica.
3. Intelegerea importantei informatiilor
Toate actiunile in gestionarea informatiilor trebuie sa se bazeze pe intelegerea importantei pe care informatiile o aduc organizatiei.
Categorii de valori:
- Informatii care trebuie sa fie pastrate in temeiul legii
Anumite acte legislative, asa cum am evidentiat maisus, au stabilit tipurile de informatii care trebuie pastrate si cat timp ar trebui pastrate pentru, de exemplu, legislatia privind sanatatea sisecuritatea la locul de munca sau cea a documentelor financiarcontabile. Departamentele aferente din cadrul organizatiei trebuie sa cunoasca cerintele legislative de pastrare a inregistrarilor.
Informatiicare au o valoare comerciala continua
In aceasta categorie intra informatiile care sunt necesare pentru a indeplini obiectul de activitate al companiei sau pentru a furniza dovezi ale unei activitati economice. Este esential sa lucrati cu departamentele organizatiei pentru a decide ce trebuie mentinut in scopuri comerciale. Personalul din cadrul departamentelor aferente ar trebui sa stie ce date cu caracter personal prelucreaza zilnic si cat timp au nevoie de ele.
- Informatii care au valoare de reutilizare
De asemenea, este importantsa analizati daca datele ar putea avea o valoare din perspectiva reutilizarii. De exemplu, anumite institutii publice sunt incurajate sa publice cat mai multe seturi de date posibile si informatiile pe care le contin pot fi folosite de persoane din afara entitatii in moduri inovatoare, de exemplu, de a crea noi aplicatii digitale. In acestcaz exista si risculca informatiile sa fie folosite de terte persoane in scopuri nelegale
Informatii care au valoare istorica
Informatiile cu valoare istorica suntcele care ar trebui alese pentru conservarea permanenta in Arhivele Nationale. Acestea vor include documente strategice semnificative, inregistrari ale deciziilor importante, documente despre evenimente notabile, persoane sau probleme publice.
Deciziile privind importanta informatiilor ar trebui sa se bazeze mai degraba pe continut si pe context decat pe format.
Folosirea criteriului importantei datelor cu caracter personal pentru a lua decizii
Odata ce intelegeti importanta informatiilor, puteti incepe sa luati decizii sensibile cu privire la modul de gestionare a acestora. De exemplu:
Daca aveti informatiicare au o importanta sau sunt relevante pe termen scurt, nu doriti sa suportaticosturile de mentinere a acestora peste durata utila.Depozitarea poate fi ieftina (si este discutabila), dar este costisitor sa se mentina,sa se pastreze sisa se asigure accesul la aceste informatii in timp.
Pentru informatii cu un grad de importanta pe termen mediu si lung care sunt necesare pentru a efectua sau a furniza dovezi ale unei anumite activitati sau care au o valoare istorica, trebuie sa aveti la dispozitie politici, procese si sisteme adecvate pentru a va asigura ca puteti gasi, deschide, intelege si lucra cu informatiile cat timp doriti.
Asigurati-va ca personalul intelege importanta datelor cu caracter personal.
Ar trebui sa va asigurati ca personalul din cadrul organizatiei stie ce informatii ar trebui sa tina, de ce si unde. Unele metode comune de a face acest lucru sunt:
- Asigurarea faptului ca acest lucru face parte din instruirile interne atuncicand oameniise alatura organizatiei, inclusiv prin oferirea de cursuri de perfectionare, ateliere de lucru, pentru a fisigurca oamenii pastreaza aceste cunostinte.
- Materiale tiparite,cum ar fi ghiduri de lucru care enumera informatiile ce trebuie pastrate, pliante si postere.
- Promovarea mesajului si ajutorul acordat personalului de catre reprezentantii din cadrul companiei.
4. Eliminarea/distrugerea datelor cu caracter personal de care nu mai aveti nevoie
Exista o serie de actiuni pe care trebuie sa le intreprindeti pentru a va asigura ca are loc eliminarea datelor cu caracter personal .
Decideti asupra factorilor declansatori.
Un factor de declansare este necesar pentru activarea actiunii de eliminare a datelor. Exemple comune:
Exista o serie de actiuni pe care trebuie sa le intreprindeti pentru a va asigura ca are loc eliminarea datelor cu caracter personal .
Decideti asupra factorilor declansatori.
Un factor de declansare este necesar pentru activarea actiunii de eliminare a datelor. Exemple comune:
- x ani dupa deschiderea sau inchiderea unui fisier/folder digital
- x ani dupa ultima intrare, de exemplu, intr-o foaie de calcul sau intr-o baza de date.
Construiti evacuarea in sistemele digitale acolo unde este posibil.
Ar trebui sa faceti procesul de eliminare cat mai automat posibil prin construirea acestuia in sistemele digitale pe care le utilizati. Modul in care faceti acest lucru depinde de tipul de sistem, deoarece diferitele sisteme gestioneaza eliminarea in diferite moduri.
Pastrati o pista de audit
Este important sa pastrati o pista de audit a ceea ce a foststerssicand. Unele sisteme digitale vor face acest lucru automat. In cazul altora va trebui sa pastrati o evidenta a ceea ce a fost sters in mod separat.
Pastrati informatiile pe care le aveti la dispozitie pentru a demonstra ca intentia de a dispune de date a fost la un anumit moment dat, chiar daca nu se dovedeste exact cand au fost eliminate informatiile.
Definiti stergerea.
Stergerea nu inseamna intotdeauna stergerea din spatiul digital si este adesea posibila recuperarea inregistrarilor digitale dupa ce au fost sterse.
Crearea unei politicisau a unei declaratii cu privire la momentul de la care considerati ca inregistrarile digitale au fost sterse din sisteme vor ajuta la evitarea eforturilor costisitoare de recuperare.
Sfaturi privind retinerea datelor personale
Informatiile ar trebui pastrate numai atata timp cat acestea sunt necesare in scopuri comerciale, legale sau istorice, iar politica de pastrare trebuie sa fie elaborata si aplicata tuturor informatiilor detinute.
Puteti aplica mai multe perioade de pastrare diferite sau le puteti grupa in trei categorii:
Ar trebui sa faceti procesul de eliminare cat mai automat posibil prin construirea acestuia in sistemele digitale pe care le utilizati. Modul in care faceti acest lucru depinde de tipul de sistem, deoarece diferitele sisteme gestioneaza eliminarea in diferite moduri.
Pastrati o pista de audit
Este important sa pastrati o pista de audit a ceea ce a foststerssicand. Unele sisteme digitale vor face acest lucru automat. In cazul altora va trebui sa pastrati o evidenta a ceea ce a fost sters in mod separat.
Pastrati informatiile pe care le aveti la dispozitie pentru a demonstra ca intentia de a dispune de date a fost la un anumit moment dat, chiar daca nu se dovedeste exact cand au fost eliminate informatiile.
Definiti stergerea.
Stergerea nu inseamna intotdeauna stergerea din spatiul digital si este adesea posibila recuperarea inregistrarilor digitale dupa ce au fost sterse.
Crearea unei politicisau a unei declaratii cu privire la momentul de la care considerati ca inregistrarile digitale au fost sterse din sisteme vor ajuta la evitarea eforturilor costisitoare de recuperare.
Sfaturi privind retinerea datelor personale
Informatiile ar trebui pastrate numai atata timp cat acestea sunt necesare in scopuri comerciale, legale sau istorice, iar politica de pastrare trebuie sa fie elaborata si aplicata tuturor informatiilor detinute.
Puteti aplica mai multe perioade de pastrare diferite sau le puteti grupa in trei categorii:
- scurt de exemplu, cel putin 15 luni;
- mediu pana la 5 ani;
- lung.
| STIATI CA? Conform Regulamentului (UE) 679/2016, operatorii de date si persoanele imputernicite de operatori trebuie sa stabileasca perioade de timp pentru revizuirea datelor stocate in considerarea pastrarii unor date corecte si actualizate. |
| Datele s-au pastrat prea mult timp fara actualizare Organizatia dumneavoastra apeleaza la un birou de recrutare si, in acest scop, colecteaza CV-urile persoanelor care cauta un loc de munca. Aveti de gand sa pastrati datele colectate din CV-uri timp de 20 de ani si sa nu luati masuri pentru actualizarea lor. Perioada de pastrare nu pare proportionala cu scopul de a gasi un loc de munca pentru o persoana pe termen scurt sau mediu. Mai mult decat atat, faptul ca nu solicitati actualizari ale CV-urilor la intervale regulate de timp face ca unele cautari sa fie inutile pentru persoana care cauta un loc de munca dupa o anumita perioada de timp (de exemplu, pentru ca acea persoana a dobandit noi calificari) |
Cand trebuie sa revizuiti pastrarea datelor cu caracter personal?
Ar trebui sa verificati daca aveti in continuare nevoie de datele cu caracter personal la sfarsitul oricarei perioade standard de pastrare si sa le stergeti sau sa le anonimati,cu exceptia cazului in care exista o justificare clara pentru pastrarea acestora pentru o perioada mai lunga. Sistemele automate pot marca inregistrarile pentru examinare sau pot sterge informatiile dupa o perioada prestabilita. Acest lucru este util in special daca detineti multe inregistrari de acelasi tip.
Este, de asemenea, o buna practica sa examinati pastrarea datelorcu caracter personal la intervale regulate inainte de aceasta, mai ales daca perioada de pastrare standard este lunga sau exista un potential de impact semnificativ asupra persoanelor vizate.
Daca nu aveti o perioada stabilita de pastrare a datelor personale, trebuie sa examinati in mod regulat daca aveti nevoie de ele in continuare.
Cu toate acestea, nu exista nicio regula ferma cu privire la modul in care aceste verificari trebuie sa fie periodice. Resursele companiei pot fi un factor relevant aici, impreuna cu riscul de confidentialitate pentru persoanele fizice. Lucrul important de retinut este ca trebuie sa puteti justifica pastrarea sicat de desrevizuiti datele cu caracter personal.
De asemenea, trebuie sa verificati daca aveti nevoie de date personale daca persoana vizata va solicita acest lucru. Persoanele fizice au dreptul de a solicita stergerea datelor personale daca nu mai aveti nevoie de ele pentru scopurile specificate.
Lista de verificare a eliminarii datelor cu caracter personal
| Sarcina | Este bine sa stiti | Sfaturi |
| Obtineti asistenta din partea managementului societatii | Evidentiati beneficiile pentru organizatie, cum ar fi cresterea eficientei si reducerea costurilor | Incercati sa faceti cunoscut ce s-ar putea intampla gresit (sau daca intr-adevar s-a intamplat gresit). Evidentierea riscurilor este uneori o abordare mai eficienta |
| Obtineti sprijin din partea companiei | Evidentiati avantajele pentru zona de afaceri, cum ar fi facilitarea gasirii, utilizarii si partajarii informatiilor necesare | Aceasta poate contribui la marcarea unei anumite sarcini intr-un mod rapid; in loc de eliminare recomandam sa utilizati sintagma ce trebuie pastrat |
| Intelegeti activitatea organizatiei | Acordati o atentie speciala functiilor de baza sau statutare | Utilizati rapoarte anuale si discutii cu personalul din fiecare departament |
| Identificati informatiile prelucrate de organizatie | Este esential sa se colaboreze indeaproape cu toate departamentele, deoarece personalul aferent are cunostinte despre procesele de business si despre informatiile pe care le creeaza/detin | Cereti reprezentantilor departamentelor informatii din domeniile lor de activitate |
| Aflati unde se afla informatiile | Luati in considerare toate sursele (inclusiv digitale) si nu ignorati ciclul de viata al tehnologiei utilizate si interdependentele dintre sisteme | Adresati-va departamentului IT pentru ajutor in acest sens |
| Documentati informatiile intr-o foaie de calcul sau intr-o baza de date | Numiti un responsabil si tineti evidentele actualizate | Ar fi de preferat sa detineti toate aceste informatii intr-un singur loc si nu in mai multe foi de calcul |
| Intelegeti importanta informatiilor | Luati in considerare cerintele legislative privind pastrarea inregistrarilor, valoarea comerciala, valoarea istorica si potentialul de reutilizare | Discutati cu specialisti in materie cunostintele lor conteaza |
| Decideti cat timp trebuie pastrate datele cu caracter personal | Anumite tipuri de informatii sunt supuse cerintelor legislative de pastrare a inregistrarilor | Luati in considerare o perioada de pastrare prin raportare la toate perioadele de pastrare care sa acopere cea mai mare parte a informatiilor si apoi luati in considerare perioade de pastrare mai lungi/mai scurte pentru restul informatiilor o abordare de 80%/20% |
| Asigurati-va ca personalul din intreaga organizatie stie ce informatii trebuie sa tina si unde | Organizati sesiuni de formare a personalului, in special sesiuni de instruire pentru personalul nou. Continuati sa promovati acest lucru nu este o activitate pe care sa o desfasurati o singura data | Utilizati materiale precum ghiduri de birou, pliante si postere si utilizati intranetul |
| Decideti asupra factorului declansator pentru eliminarea informatiilor | Daca inchiderea unui dosar este un element declansator, atunci trebuie sa inchideti efectiv dosarele in cauza, altfel eliminarea nu poate avea loc atunci cand este preconizata | Utilizati factori simpli de declansare, cum ar fi inchiderea dosarului , deoarece vor fi mai usor de implementat |
| Acolo unde este posibil, includeti dispozitia de eliminare in sistemele digitale | Masura in care puteti automatiza eliminarea va depinde de sistemele pe care le utilizati | Atunci cand achizitionati sisteme digitale, asigurati-va intotdeauna ca includ functii de eliminare a datelor |
| Incepeti procesul de eliminare a informatiilor | Eliminarea poate insemna stergere , dar poate insemna si transferarea informatiilor catre o alta organizatie, de exemplu, Arhivele Nationale | Luati in considerare toate aspectele atunci cand intocmiti o politica privind eliminarea inregistrarilor ce contin datelor cu caracter personal |
| Pastrati informatiile actualizate | Organizatiile si informatiile pot suferi schimbari astfel incat aceasta nu este o activitate singulara | Infiintati un proces regulat de revizuire si eliminare si numiti persoane responsabile care sa aiba grija ca acest proces sa functioneze |
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Un produs marca