Databeskyttelse | Regler | Love | Rammer
Data & Mores Complice Service (DMCS) understøtter en bred vifte af juridiske rammer. Fra europæisk GDPR over canadisk PIPEDE til kinesisk PIPL. Kernen i al databeskyttelse er antagelsen om, at data tilhører enkeltpersoner, og at organisationer blot er forvaltere af data. Med den forståelse bliver det klart, at alle persondata skal have en opbevaringsperiode - og skal slettes, før det bliver ulovligt at opbevare dem.
GDPR var den første store databeskyttelseslovgivning, der på grund af sin overordnede rækkevidde har påvirket næsten al global databeskyttelseslovgivning. Men som nævnt nedenfor er det vigtigt at bemærke, at GDPR er forankret i EU's charter om grundlæggende rettigheder.
Nedenfor har vi skitseret ti rammer for fastholdelse af regulatorer, som DMCS understøtter out of the box.
1. EU: Generel forordning om databeskyttelse (GDPR):
I henhold til GDPR er opbevaring af data et kritisk aspekt for at sikre overholdelse. Organisationer skal etablere klare datalagringspolitikker, der bestemmer den periode, hvor personoplysninger kan lagres. Princippet om dataminimering understreges, hvilket betyder, at persondata kun skal opbevares så længe, som det er nødvendigt til det angivne formål. Organisationer skal dokumentere deres opbevaringsperioder og informere enkeltpersoner om, hvor længe deres data vil blive opbevaret. GDPR kræver også, at organisationer implementerer passende sikkerhedsforanstaltninger for at beskytte opbevarede data under opbevaring.
2. USA: California Consumer Privacy Act (CCPA):
CCPA giver forbrugerne ret til at anmode om sletning af deres personlige oplysninger, som virksomheder er i besiddelse af. Som følge heraf skal organisationer etablere datalagringspolitikker, der stemmer overens med disse rettigheder. Selvom CCPA ikke specificerer en specifik opbevaringsperiode, understreger den behovet for, at organisationer informerer enkeltpersoner om deres datalagringspraksis. Virksomheder skal oplyse om de kategorier af personlige oplysninger der indsamles, formålet med indsamlingen, og den periode, hvor dataene vil blive opbevaret. Overholdelse af datalagringspolitikker og rettidig sletning af data efter anmodning er afgørende for at opfylde CCPA-kravene.
https://oag.ca.gov/privacy/ccpa
3. Canada: Lov om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA):
PIPEDA kræver, at organisationer har klare og rimelige politikker for opbevaring af data. Den understreger vigtigheden af at begrænse opbevaringen af personlige oplysninger til kun det, der er nødvendigt for at opfylde de identificerede formål. Organisationer skal specificere, hvordan persondata indsamles og opbevares, og kommunikere disse formål til enkeltpersoner. Desuden kræver PIPEDA, at organisationer skal have retningslinjer og procedurer for at destruere eller anonymisere personlige oplysninger, når de ikke længere er nødvendige til de identificerede formål.
4. Brasiliens: Generel lov om databeskyttelse (LGPD):
LGPD anerkender vigtigheden af datalagringspolitikker for at sikre beskyttelsen og fortroligheden af personlige data. Det kræver, at organisationer fastlægger specifikke formål med databehandlingen og opbevarer data i det tidsrum, der er nødvendigt for at opnå disse formål. Organisationer skal informere enkeltpersoner om opbevaringsperioden og de kriterier, der bruges til at bestemme varigheden af datalagringen. Derudover understreger LGPD behovet for passende sikkerhedsforanstaltninger for at beskytte opbevarede data og forhindre uautoriseret adgang eller offentliggørelse.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
5. Singapore: Lov om beskyttelse af persondata (PDPA):
I henhold til PDPA skal organisationer etablere politikker for opbevaring af data, der stemmer overens med formålet med indsamlingen. Persondata bør ikke opbevares længere end nødvendigt for at opfylde de angivne formål, og organisationer bør dokumentere deres opbevaringsperioder. PDPA understreger også vigtigheden af at implementere passende sikkerhedsforanstaltninger for at beskytte opbevarede data mod uautoriseret adgang, offentliggørelse eller tab.
https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
6. Australsk lov om privatlivets fred: (APA)
Selvom den australske Privacy Act ikke udtrykkeligt skitserer specifikke dataopbevaringsperioder, understreger den princippet om dataminimering. Organisationer forventes at etablere datalagringspolitikker, der sikrer, at personlige oplysninger kun opbevares, så længe det er nødvendigt for at opfylde de identificerede formål. Desuden fremhæver loven behovet for, at organisationer implementerer passende sikkerhedsforanstaltninger for at beskytte opbevarede data mod uautoriseret adgang, misbrug, indblanding, tab eller offentliggørelse.
https://www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act
7. Den amerikanske Health Insurance Portability and Accountability Act (HIPAA):
HIPAA indeholder bestemmelser om opbevaring af data i sundhedssektoren. Dækkede enheder og forretningspartnere er forpligtet til at opbevare beskyttede sundhedsoplysninger (PHI) i bestemte perioder for at opfylde juridiske og forretningsmæssige krav. HIPAA giver ikke en specifik opbevaringsperiode, men understreger behovet for at implementere politikker og procedurer for opbevaring og bortskaffelse af data. Organisationer bør overveje statslige og føderale love, når de etablerer politikker for dataopbevaring af PHI.
https://www.hhs.gov/hipaa/index.html
8. STORBRITANNIEN: Lov om databeskyttelse:
Databeskyttelsesloven fra 2018 kræver sammen med GDPR, at organisationer har politikker for datalagring på plads. Personoplysninger bør kun opbevares, så længe det er nødvendigt til de angivne formål. Loven understreger behovet for, at organisationer informerer enkeltpersoner om opbevaringsperioderne og de kriterier, der bruges til at bestemme varigheden af datalagringen. Derudover skal der implementeres passende sikkerhedsforanstaltninger for at beskytte de opbevarede data.
9. Kina: Lov om beskyttelse af personlige oplysninger (PIPL):
PIPL i Kina giver organisationer mandat til at etablere politikker for opbevaring af data til databehandlingsformål. Personlige oplysninger bør kun opbevares, så længe det er nødvendigt for at opfylde de angivne formål. Organisationer skal informere enkeltpersoner om opbevaringsperioden og de kriterier, der bruges til at bestemme datalagringens varighed. Loven kræver også, at organisationer implementerer sikkerhedsforanstaltninger for at beskytte opbevarede data mod uautoriseret adgang, offentliggørelse eller tab.
http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm
Indien: Lov om beskyttelse af persondata (PDPB):
Den foreslåede PDPB i Indien understreger vigtigheden af politikker for opbevaring af data. Organisationer skal fastsætte opbevaringsperioder baseret på formålet med databehandlingen. Persondata bør ikke opbevares længere end nødvendigt for at opfylde de angivne formål. PDPB kræver, at organisationer informerer enkeltpersoner om opbevaringsperioderne og implementerer passende sikkerhedsforanstaltninger for at beskytte opbevarede data.
Som altid skal du læse kilderne - go zero trust