Gemäß DSGVO müssen Unternehmen eine Politik der Datenspeicherung erstellen, und zwar mit der Festlegung von Fristen und Standards für die Datenspeicherung, die bei dem Löschen von Informationen anzuwenden sind.
Diese Politik bezieht sich auf alle Geschäftsaktivitäten, Prozesse und Systeme, innerhalb derer das Unternehmen seine Geschäftstätigkeiten ausübt und Geschäftsbeziehungen oder andere Geschäftsbeziehungen mit Dritten hat.
Die Politik der Datenspeicherung sollte ein Bestandteil des gesamten Prozesses der Dokumentation zur Sicherstellung von Informationen gemäß Anforderungen der DSGVO sein.
WAS IST DIE POLITIK DER DATENSPEICHERUNG?
Die Politik der Datenspeicherung ist eine Reihe von Leitlinien, die Unternehmen helfen, zu verfolgen, wie lange Informationen gespeichert werden müssen und wie sie zu vernichten sind, wenn sie nicht mehr notwendig sind.
Innerhalb der Politik sollte auch der Verarbeitungszweck abgefasst werden. Dadurch wird sichergestellt, dass ein Beweis dokumentiert wurde, der Ihre Fristen für Speicherung und Vernichtung von Daten begründet.
ZWECK DER POLITIK
Der Zweck ist die Festlegung von Regeln der Datenspeicherung und der Verantwortung für deren Vernichtung. Sobald sich das Unternehmen entscheidet, Daten zu vernichten, müssen diese Daten in einem Ausmaß vernichtet werden, das ihrem Wert und ihrer Vertraulichkeitsstufe entspricht. Die Art und Weise der Vernichtung ist unterschiedlich und sie hängt vom Charakter des Dokuments ab.
Machen Sie sich im ersten Schritt ein vollständiges Bild davon, welche personenbezogenen Daten von Ihnen eigentlich verarbeitet werden, wozu sie verwendet werden und welche Vorschriften sich auf Ihre unternehmerische Tätigkeit beziehen. Die Bedingungen für die Verarbeitung personenbezogener Daten können auch von einem internationalen Vertrag, Vorhaltenskodex oder Standard beeinflusst werden (z.B. PCI DSS, wenn von Ihnen Informationen über die Debit- oder Kreditkarte der Einzelpersonen verarbeitet werden).
Auch dann, wenn Sie vorhaben, die Norm ISO/IEC 27001 einzuhalten, in der bewährte Verfahren für die Sicherheit von Informationen beschrieben werden, müssen von Ihnen auch diese Anforderungen zur Kenntnis genommen werden.
WIE LANGE KÖNNEN PERSONENBEZOGENE DATEN GESPEICHERT WERDEN?
Trotz offensichtlicher Strenge bei der Aufbewahrungsfrist von Daten gemäß DSGVO gibt es keine Regeln zur Begrenzung der Aufbewahrungsfrist. Unternehmen müssen die Aufbewahrungsfristen von Daten festlegen und auch verteidigen.
Die Festlegung der Frist sollte auf zwei Schlüsselfaktoren beruhen:
- Zweck der Datenverarbeitung
- alle regulatorischen oder rechtlichen Anforderungen bezüglich deren Aufbewahrung
WAS IST MIT DEN DATEN NACH ABLAUF DER AUFBEWAHRUNGSFRIST ZU TUN
Nach Ablauf der Aufbewahrungsfrist von Daten haben Sie zwei Möglichkeiten: diese zu vernichten oder zu anonymisieren. Die Politik der Datenspeicherung muss den Plan für die Datenvernichtung enthalten.
Die Vernichtung gedruckter Daten ist relativ einfach. Zur Vernichtung von Dokumenten können Aktenvernichter von verschiedenen Lieferanten mit unterschiedlichen Vertraulichkeitsstufen (PT2, PT3, PT4) verwendet werden. Es ist jedoch zu beachten, dass die Vernichtung der Sensibilität zu vernichtender Daten entsprechen muss. Darüber hinaus können Sie sich Dritter (Firmen) bedienen, von denen die übergebenen Dokumente sicher und protokollarisch vernichtet werden.
Die in elektronischer Form zu verarbeitenden Daten hinterlassen oft verschiedene Spuren. Am häufigsten sind es Sicherungen und Kopien, die sich auf Dateiservern, in Datenbanken oder E-Mails befinden können. Bei der Vernichtung der in elektronischer Form zu verarbeitenden Daten müssen alle Kopien der Daten aus lebendigen und Backup-Systemen entfernt werden.
Die Gestaltung der Politik der Datenspeicherung kann Ihnen wie eine beklemmende Aufgabe vorkommen. Zögern Sie also nicht, uns zu kontaktieren und um unsere Hilfe zu bitten. Wir können Ihnen unsere Schablone zur Verfügung stellen, die von Ihnen nach Ihren Vorstellungen angepasst wird oder wir erarbeiten die Politik für Sie.
IOSEC
