Datenschutz | Vorschriften | Gesetze | Rahmenwerke
Data & Mores Complice Service (DMCS) unterstützt eine breite Palette von rechtlichen Rahmenbedingungen. Von der europäischen GDPR über die kanadische PIPEDE bis zur chinesischen PIPL. Im Mittelpunkt des Datenschutzes steht die Annahme, dass die Daten den Personen gehören und die Organisationen nur die Verwalter der Daten sind. Mit diesem Verständnis wird klar, dass alle Personendaten eine Aufbewahrungsfrist haben müssen - und gelöscht werden müssen, bevor es illegal wird, sie zu behalten.
Die Datenschutz-Grundverordnung war die erste große Datenschutzvorschrift, die sich aufgrund ihrer allgemeinen Reichweite auf fast alle globalen Datenschutzvorschriften ausgewirkt hat. Wie weiter unten erwähnt, ist es jedoch wichtig zu wissen, dass die GDPR in der Charta der Grundrechte der Europäischen Union verankert ist.
Nachfolgend haben wir zehn Rahmenwerke für die Aufbewahrung durch die Aufsichtsbehörden aufgeführt, die das DMCS sofort unterstützt.
1. EU: Allgemeine Datenschutzverordnung (GDPR):
Nach der DSGVO ist die Datenaufbewahrung ein entscheidender Aspekt für die Einhaltung der Vorschriften. Organisationen müssen klare Richtlinien für die Datenaufbewahrung festlegen, die den Zeitraum bestimmen, für den personenbezogene Daten gespeichert werden können. Der Grundsatz der Datenminimierung wird hervorgehoben, was bedeutet, dass personenbezogene Daten nur so lange aufbewahrt werden sollten, wie es für den angegebenen Zweck erforderlich ist. Organisationen müssen ihre Aufbewahrungsfristen dokumentieren und Einzelpersonen über die Dauer der Speicherung ihrer Daten informieren. Die Datenschutz-Grundverordnung verlangt außerdem, dass Organisationen geeignete Sicherheitsmaßnahmen ergreifen, um die gespeicherten Daten während der Speicherung zu schützen.
2. USA: Kalifornisches Verbraucherschutzgesetz (CCPA):
Das CCPA räumt Verbrauchern das Recht ein, die Löschung ihrer personenbezogenen Daten bei Unternehmen zu verlangen. Infolgedessen müssen Unternehmen Richtlinien zur Datenspeicherung festlegen, die mit diesen Rechten in Einklang stehen. Das CCPA legt zwar keinen bestimmten Aufbewahrungszeitraum fest, betont aber, dass Unternehmen Einzelpersonen über ihre Praktiken zur Datenspeicherung informieren müssen. Die Unternehmen müssen die Kategorien der erhobenen personenbezogenen Daten, den Zweck der Erhebung und den Zeitraum, für den die Daten gespeichert werden, offenlegen. Die Einhaltung von Richtlinien zur Datenspeicherung und die rechtzeitige Löschung von Daten auf Anfrage sind entscheidend für die Erfüllung der CCPA-Anforderungen.
https://oag.ca.gov/privacy/ccpa
3. Kanada: Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA):
PIPEDA verlangt von Organisationen, dass sie über klare und angemessene Richtlinien zur Datenaufbewahrung verfügen. Es wird betont, wie wichtig es ist, die Aufbewahrung personenbezogener Daten auf das zu beschränken, was zur Erfüllung der angegebenen Zwecke erforderlich ist. Organisationen müssen angeben, wie personenbezogene Daten erhoben und aufbewahrt werden, und diese Zwecke dem Einzelnen mitteilen. Darüber hinaus schreibt PIPEDA vor, dass Organisationen über Richtlinien und Verfahren zur Vernichtung oder Anonymisierung personenbezogener Daten verfügen müssen, wenn diese für die angegebenen Zwecke nicht mehr benötigt werden.
4. Brasiliens: Allgemeines Datenschutzgesetz (LGPD):
Die LGPD erkennt die Bedeutung von Maßnahmen zur Datenspeicherung an, um den Schutz und die Privatsphäre personenbezogener Daten zu gewährleisten. Sie verlangt von den Organisationen, dass sie spezifische Zwecke für die Datenverarbeitung festlegen und die Daten so lange aufbewahren, wie es für die Erreichung dieser Zwecke erforderlich ist. Organisationen müssen Personen über die Aufbewahrungsfrist und die Kriterien informieren, die zur Bestimmung der Dauer der Datenspeicherung herangezogen werden. Darüber hinaus unterstreicht die LGPD die Notwendigkeit geeigneter Sicherheitsmaßnahmen, um die auf Vorrat gespeicherten Daten zu schützen und einen unbefugten Zugang oder eine unbefugte Offenlegung zu verhindern.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
5. Singapur: Gesetz zum Schutz personenbezogener Daten (PDPA):
Nach dem PDPA müssen Organisationen Richtlinien für die Datenspeicherung festlegen, die auf den Zweck der Erhebung abgestimmt sind. Personenbezogene Daten sollten nicht länger aufbewahrt werden, als es für die Erfüllung der angegebenen Zwecke erforderlich ist, und die Organisationen sollten ihre Aufbewahrungsfristen dokumentieren. Der PDPA unterstreicht auch die Bedeutung der Umsetzung angemessener Sicherheitsmaßnahmen, um aufbewahrte Daten vor unbefugtem Zugriff, Offenlegung oder Verlust zu schützen.
https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
6. Australisches Datenschutzgesetz: (APA)
Das australische Gesetz über den Schutz der Privatsphäre enthält zwar keine ausdrücklichen Angaben zu den Aufbewahrungsfristen für Daten, betont aber den Grundsatz der Datenminimierung. Von Organisationen wird erwartet, dass sie Richtlinien zur Datenaufbewahrung festlegen, die sicherstellen, dass personenbezogene Daten nur so lange aufbewahrt werden, wie es für die Erfüllung der angegebenen Zwecke erforderlich ist. Darüber hinaus unterstreicht das Gesetz die Notwendigkeit für Organisationen, angemessene Sicherheitsvorkehrungen zu treffen, um auf Vorrat gespeicherte Daten vor unbefugtem Zugriff, Missbrauch, Eingriff, Verlust oder Offenlegung zu schützen.
https://www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act
7. US Health Insurance Portability and Accountability Act (HIPAA):
Der HIPAA enthält Bestimmungen zur Datenaufbewahrung im Gesundheitswesen. Betroffene Einrichtungen und Geschäftspartner sind verpflichtet, geschützte Gesundheitsinformationen (PHI) für bestimmte Zeiträume aufzubewahren, um rechtliche und geschäftliche Anforderungen zu erfüllen. Der HIPAA sieht keine bestimmte Aufbewahrungsfrist vor, betont aber die Notwendigkeit, Richtlinien und Verfahren für die Datenaufbewahrung und -vernichtung einzuführen. Organisationen sollten bei der Festlegung von Richtlinien zur Datenaufbewahrung für PHI die Gesetze der Bundesstaaten und des Bundes berücksichtigen.
https://www.hhs.gov/hipaa/index.html
8. UK: Datenschutzgesetz:
Der Data Protection Act 2018 in Verbindung mit der GDPR verlangt von Organisationen, dass sie Richtlinien zur Datenaufbewahrung einführen. Personenbezogene Daten sollten nur so lange aufbewahrt werden, wie es für die angegebenen Zwecke erforderlich ist. Das Gesetz betont die Notwendigkeit für Organisationen, Einzelpersonen über die Aufbewahrungsfristen und die Kriterien zu informieren, die zur Bestimmung der Dauer der Datenspeicherung verwendet werden. Außerdem müssen geeignete Sicherheitsmaßnahmen zum Schutz der gespeicherten Daten getroffen werden.
9. China: Gesetz zum Schutz persönlicher Daten (PIPL):
Das PIPL in China schreibt Organisationen vor, Richtlinien für die Datenaufbewahrung für die Zwecke der Datenverarbeitung festzulegen. Personenbezogene Daten sollten nur so lange aufbewahrt werden, wie es für die Erfüllung der angegebenen Zwecke erforderlich ist. Organisationen müssen Einzelpersonen über die Aufbewahrungsfrist und die Kriterien, die zur Bestimmung der Dauer der Datenspeicherung verwendet werden, informieren. Das Gesetz verlangt außerdem, dass Organisationen Sicherheitsmaßnahmen ergreifen, um gespeicherte Daten vor unbefugtem Zugriff, Offenlegung oder Verlust zu schützen.
http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm
Indien: Gesetz zum Schutz persönlicher Daten (PDPB):
Der vorgeschlagene PDPB in Indien unterstreicht die Bedeutung von Maßnahmen zur Datenspeicherung. Organisationen müssen Aufbewahrungsfristen festlegen, die sich nach den Zwecken der Datenverarbeitung richten. Personenbezogene Daten sollten nicht länger aufbewahrt werden, als es für die Erfüllung der angegebenen Zwecke erforderlich ist. Der PDPB verlangt von Organisationen, dass sie Einzelpersonen über die Aufbewahrungsfristen informieren und geeignete Sicherheitsmaßnahmen zum Schutz der aufbewahrten Daten ergreifen.
Wie immer gilt: Lesen Sie die Quellen - go zero trust