Hramba osebnih podatkov

Rok hrambe

Začnimo kar pri vprašanju, koliko časa smemo osebne podatke hraniti. Odgovor bo odvisen predvsem od pravne podlage, na kateri osebne podatke hranimo. Če nam določen zakon nalaga, da moramo osebne podatke hraniti določen čas, potem moramo seveda upoštevati zakonsko zahtevo. Takšen primer so osebni podatki zaposlenih, ki jih je treba (večinoma) hraniti trajno. Če osebne podatke obdelujemo denimo na podlagi osebne privolitve, potem jih lahko obdelujemo samo do preklica privolitve (klasičen primer je pošiljanje e-novic). In če osebne podatke hranimo zaradi izvajanja neke poslovne pogodbe, potem bo rok hrambe po navadi 5 let od izpolnitve pogodbe oz. poplačila vseh obveznosti. Zato je seveda še kako pomembno, da že ob začetku obdelave osebnih podatkov prepoznamo ustrezno pravno podlago, kar pogosto ni tako enostavno. Posebej zato, ker je pravnih podlag za obdelavo osebnih podatkov po GDPR šest in vsaka izmed njih za seboj neizogibno pripelje drugačne rezultate (ne le pri roku hrambe, pač pa tudi pri pravicah posameznikov): “Napačna izbira pravnega temelja in / ali napačno določen rok hrambe podatkov lahko za organizacijo pomenita izgubo težko pridobljenih osebnih podatkov (npr. e-naslovov za neposredno trženje). Temu strošku je treba prišteti še globo v višini do 4 % globalnega letnega prometa organizacije”, poudarja Tina Kraigher Mišič, strokovna direktorica Info hiše d.o.o., ki je v Sloveniji prepoznano kot podjetje, ki rešuje najtežja GDPR vprašanja in ima tudi najboljše strokovnjake na tem področju. Doda še: “Če gre za hujšo kršitev in se zato znajdete celo v medijih, potem pride tudi do izgube zaupanja strank in padca ugleda organizacije – po nekaterih raziskavah pa 1 % padca ugleda privede tudi do 3 % padca prodaje”.

Kako pravilno hraniti?

Če hranite osebne podatke “na papirju”, morate zagotoviti, da se ti hranijo v prostorih ali omarah, ki ustrezajo ustrezni zaščiti glede na vašo lokacijo – to pomeni, da morajo dokumenti biti zaščiteni pred morebitnim uničenjem (npr. požar, poplava, izlitje vode, kraja dokumentov…). Prav tako morate zagotoviti ustrezno sledljivost obdelav osebnih podatkov (kdo in kdaj je določen osebni podatek obdelal, kar vključuje tudi vpoglede), kar je seveda pogosto težko zagotoviti. Zato se e-poslovanje tudi na področju GDPR predstavlja kot optimalna rešitev. Kljub prihranku stroškov in skrbi za okolje pa seveda e-svet prinese tudi svoje zahteve varovanja informacij. GDPR želi na tem področju biti tehnološko nevtralen, vendarle pa se praksa nadzornih organov (tudi v Sloveniji) naslanja na mednarodno priznane standarde varovanja informacij, kot je ISO/IEC 27001/2. Na splošno lahko rečemo, da je treba za osebne podatke (pa tudi za druge občutljivejše podatke, kot so poslovne skrivnosti, varstvo patentov, izumov…) uporabiti 3 osnovna načela: celovitost, zaupnost, razpoložljivost. “Kako konkretizirati posamezno načelo oz. ga prenesti v prakso, je odvisno predvsem od občutljivosti podatkov in njihove količine ter osnovne analize tveganja”, razloži Klemen Kraigher Mišič, direktor Info hiše d.o.o.: “Vsekakor morajo večji upravljavci osebnih podatkov in upravljavci, ki obdelujejo bolj občutljive podatke, zagotavljati višje standarde varovanja informacij, med drugim tudi avtentičnost revizijske sledi, kar v strojni obliki lahko prinese visoke stroške. Prav zato smo se odločili, da skupaj z našim partnerjem razvijemo prav poseben sistem zagotavljanja avtentičnosti revizijske sledi, ki bo cenovno tako ugoden, da si ga bo lahko privoščil prav vsak upravljavec osebnih podatkov. Inovativen produkt bomo upravljavcem ponudili do konca tega leta, vaši bralci, ki bi to želeli, pa nas lahko že zdaj kontaktirajo, če bi želeli biti vključeni v beta verzijo.”

Več informacij: www.info-hisa.si

Zakaj kontaktirati Info hišo?

• Največ GDPR znanja na enem mestu;
• Več kot 15 let prakse;
• Združevanje GDPR in IT;
• Zaupanje največjih slovenskih podjetij.