Roki hrambe kot spregledan izziv informacijskih sistemov

V razpravah o varnosti informacijskih sistemov je poudarek pogosto na tehničnih ukrepih za zaščito podatkov, kot so nadzor dostopa, šifriranje in odpornost na incidente.

Bistveno manj pozornosti pa se namenja vprašanju, koliko časa smejo biti podatki sploh shranjeni. Roki hrambe osebnih podatkov niso zgolj pravna formalnost, temveč ključen element skladnega in varnega upravljanja podatkov v informacijskih sistemih. Podatki, ki so tehnično ustrezno zavarovani, a se hranijo brez veljavne pravne podlage ali predolgo, predstavljajo neposredno kršitev zakonodaje in povečano tveganje za upravljavca.

Pravne podlage za omejitev hrambe

Načelo omejitve hrambe izhaja iz Splošne uredbe o varstvu podatkov (GDPR), ki določa, da se osebni podatki hranijo le toliko časa, kolikor je potrebno za namene obdelave. Na nacionalni ravni to dodatno konkretizira 43. člen Zakona o varstvu osebnih podatkov (ZVOP-2), ki zahteva, da so roki hrambe omejeni na najkrajše možno obdobje, redno preverjani ter po prenehanju namena ustrezno zaključeni z izbrisom, anonimizacijo ali drugimi ukrepi. Pomembno je poudariti, da pravna podlaga za obdelavo ne pomeni tudi neomejene hrambe podatkov.

Primeri iz prakse

Podjetja pogosto pridobivajo osebne podatke strank, ki jih shranjujejo v CRM sistemih zaradi izvajanja pogodb, podpore ali komunikacije. Takšna hramba je zakonita le toliko časa, dokler obstaja ustrezen namen in pravna podlaga; po prenehanju sodelovanja pa je treba podatke ustrezno izbrisati ali omejiti njihovo nadaljnjo uporabo. Podobno velja pri zaposlovanju: podatki izbranega kandidata se hranijo skladno z delovnopravnimi predpisi, podatki neizbranih kandidatov pa le še kratek čas po zaključku postopka, razen če ti podajo izrecno privolitev za daljšo hrambo. Pogosta praksa dolgoročnega hranjenja prijav brez jasnega namena pomeni kršitev načela omejitve hrambe.

Določitev in izvedba rokov hrambe

Roki hrambe morajo biti določeni vnaprej in pisno opredeljeni v internih aktih upravljavca, kot so pravilniki, katalogi zbirk ali evidence dejavnosti obdelave. Ključno je, da so ti roki usklajeni z dejansko implementacijo v informacijskem sistemu in ne obstajajo zgolj na papirju. V sodobnih aplikacijah je smiselno roke hrambe obravnavati kot del podatkovnega življenjskega cikla ter jih podpreti z metapodatki, avtomatiziranimi postopki brisanja ali anonimizacije in ustreznimi revizijskimi sledmi.

Upravljanje rokov hrambe brez tveganj

Roki hrambe osebnih podatkov so področje, kjer se pravo in informatika neposredno prepletata. Njihovo neupoštevanje običajno ni posledica pomanjkanja varnosti, temveč nejasnega upravljanja podatkov skozi čas. GDPR in 43. člen ZVOP-2 zahtevata, da informacijski sistemi poleg nadzora nad dostopom zagotovijo tudi jasen odgovor na vprašanje, kdaj podatkov ne sme biti več. Pravilno urejeni roki hrambe zmanjšujejo pravna tveganja, povečujejo preglednost poslovanja in olajšajo dokazovanje skladnosti. Če želite to področje urediti učinkovito in brez nepotrebnih zapletov, vam lahko pomagajo strokovnjaki iz DATAINFO.SI – za ponudbo jih lahko pokličete na 02 620 43 00 ali pišete na info@datainfo.si. (P.R.)