Prywatność danych | Regulacje | Prawa | Ramy
Data & Mores Complice Service (DMCS) obsługuje szeroki zakres ram prawnych. Od europejskiego RODO przez kanadyjskie PIPEDE po chińskie PIPL. U podstaw prywatności danych leży założenie, że dane należą do osób fizycznych, a organizacje są jedynie ich opiekunami. Przy takim rozumieniu staje się jasne, że wszystkie dane osobowe muszą mieć okres przechowywania - i muszą zostać usunięte, zanim ich przechowywanie stanie się nielegalne
RODO było pierwszym ważnym aktem prawnym dotyczącym prywatności danych, który ze względu na swój ogólny zasięg wpłynął na prawie wszystkie globalne przepisy dotyczące prywatności danych. Jednakże, jak wspomniano poniżej, należy zauważyć, że RODO jest zakorzenione w Karcie Praw Podstawowych Unii Europejskiej.
Poniżej przedstawiamy dziesięć ram retencji regulatora, które DMCS obsługuje od razu po wyjęciu z pudełka.
1. UE: Ogólne rozporządzenie o ochronie danych (RODO):
Zgodnie z RODO, przechowywanie danych jest kluczowym aspektem zapewnienia compliance. Organizacje muszą ustanowić jasne zasady przechowywania danych, które określają okres, przez jaki dane osobowe mogą być przechowywane. Podkreśla się zasadę minimalizacji danych, co oznacza, że dane osobowe powinny być przechowywane tylko tak długo, jak jest to konieczne do określonego celu. Organizacje muszą dokumentować swoje okresy przechowywania i informować osoby fizyczne o czasie przechowywania ich danych. RODO wymaga również od organizacji wdrożenia odpowiednich środków bezpieczeństwa w celu ochrony zatrzymanych danych podczas ich przechowywania.
2. USA: Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA):
CCPA przyznaje konsumentom prawo do żądania usunięcia ich danych osobowych przechowywanych przez firmy. W rezultacie organizacje muszą ustanowić politykę przechowywania danych, która jest zgodna z tymi prawami. Chociaż CCPA nie określa konkretnego okresu przechowywania danych, podkreśla potrzebę informowania osób fizycznych przez organizacje o ich praktykach w zakresie przechowywania danych. Firmy muszą ujawniać kategorie gromadzonych danych osobowych, cel ich gromadzenia oraz okres, przez jaki dane będą przechowywane. Compliance z politykami przechowywania danych i terminowe usuwanie danych na żądanie ma kluczowe znaczenie dla spełnienia wymogów CCPA.
https://oag.ca.gov/privacy/ccpa
3. Kanada: Ustawa o ochronie danych osobowych i dokumentów elektronicznych (PIPEDA):
PIPEDA wymaga od organizacji posiadania jasnych i rozsądnych zasad przechowywania danych. Podkreśla ona znaczenie ograniczenia przechowywania danych osobowych wyłącznie do tego, co jest niezbędne do realizacji określonych celów. Organizacje muszą określić, w jaki sposób dane osobowe są gromadzone i przechowywane oraz poinformować o tych celach osoby fizyczne. Ponadto PIPEDA nakłada na organizacje obowiązek posiadania wytycznych i procedur dotyczących niszczenia lub anonimizacji danych osobowych, gdy nie są one już potrzebne do określonych celów.
4. Brazylia: Ogólna ustawa o ochronie danych (LGPD):
LGPD uznaje znaczenie polityk zatrzymywania danych w celu zapewnienia ochrony i prywatności danych osobowych. Wymaga ona od organizacji ustalenia konkretnych celów przetwarzania danych i zatrzymywania danych przez okres niezbędny do osiągnięcia tych celów. Organizacje muszą informować osoby fizyczne o okresie zatrzymywania danych i kryteriach stosowanych do określenia czasu przechowywania danych. Ponadto LGPD podkreśla potrzebę stosowania odpowiednich środków bezpieczeństwa w celu ochrony zatrzymywanych danych i zapobiegania nieuprawnionemu dostępowi lub ujawnieniu.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
5. Singapur: Ustawa o ochronie danych osobowych (PDPA):
Zgodnie z PDPA organizacje muszą ustanowić zasady przechowywania danych, które są zgodne z celem ich gromadzenia. Dane osobowe nie powinny być przechowywane dłużej niż jest to konieczne do realizacji określonych celów, a organizacje powinny dokumentować swoje okresy przechowywania. PDPA podkreśla również znaczenie wdrożenia odpowiednich środków bezpieczeństwa w celu ochrony przechowywanych danych przed nieuprawnionym dostępem, ujawnieniem lub utratą.
https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
6. Australijska ustawa o ochronie prywatności: (APA)
Chociaż australijska ustawa o ochronie prywatności nie określa wyraźnie konkretnych okresów przechowywania danych, kładzie nacisk na zasadę minimalizacji danych. Oczekuje się, że organizacje ustanowią zasady przechowywania danych, które zapewnią, że dane osobowe będą przechowywane tylko tak długo, jak będzie to konieczne do realizacji określonych celów. Ponadto ustawa podkreśla potrzebę wdrożenia przez organizacje odpowiednich zabezpieczeń w celu ochrony zatrzymanych danych przed nieuprawnionym dostępem, niewłaściwym wykorzystaniem, ingerencją, utratą lub ujawnieniem.
https://www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act
7. Amerykańska ustawa o przenośności i rozliczalności ubezpieczeń zdrowotnych (HIPAA):
HIPAA zawiera przepisy dotyczące przechowywania danych w sektorze opieki zdrowotnej. Podmioty objęte ustawą i partnerzy biznesowi są zobowiązani do przechowywania chronionych informacji zdrowotnych (PHI) przez określone okresy w celu spełnienia wymogów prawnych i biznesowych. HIPAA nie określa konkretnego okresu przechowywania, ale podkreśla potrzebę wdrożenia zasad i procedur dotyczących przechowywania i usuwania danych. Organizacje powinny wziąć pod uwagę przepisy stanowe i federalne podczas ustanawiania zasad przechowywania danych dla PHI.
https://www.hhs.gov/hipaa/index.html
8. WIELKA BRYTANIA: Ustawa o ochronie danych:
Ustawa o ochronie danych z 2018 r., w połączeniu z RODO, wymaga od organizacji posiadania zasad przechowywania danych. Dane osobowe powinny być przechowywane tylko tak długo, jak jest to konieczne do określonych celów. Ustawa podkreśla potrzebę informowania osób fizycznych przez organizacje o okresach przechowywania danych i kryteriach stosowanych do określenia czasu ich przechowywania. Ponadto należy wdrożyć odpowiednie środki bezpieczeństwa w celu ochrony przechowywanych danych.
9. Chiny: Ustawa o ochronie danych osobowych (PIPL):
PIPL w Chinach upoważnia organizacje do ustanowienia zasad przechowywania danych do celów przetwarzania danych. Dane osobowe powinny być przechowywane tylko tak długo, jak jest to konieczne do realizacji określonych celów. Organizacje muszą informować osoby fizyczne o okresie przechowywania i kryteriach stosowanych do określenia czasu przechowywania danych. Prawo wymaga również od organizacji wdrożenia środków bezpieczeństwa w celu ochrony zatrzymanych danych przed nieuprawnionym dostępem, ujawnieniem lub utratą.
http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm
Indie: Ustawa o ochronie danych osobowych (PDPB):
Proponowana PDPB w Indiach podkreśla znaczenie polityki przechowywania danych. Organizacje muszą i ustalają okresy retencji w oparciu o cele przetwarzania danych. Dane osobowe nie powinny być przechowywane dłużej niż jest to konieczne do realizacji określonych celów. PDPB wymaga, aby organizacje informowały osoby fizyczne o okresach przechowywania danych i wdrażały odpowiednie środki bezpieczeństwa w celu ochrony przechowywanych danych.
Jak zawsze, należy czytać źródła - zero zaufania