Bläddra till toppen

Förordningar

 

 

Datasekretess | Förordningar | Lagar | Ramverk

 

Data & Mores Complice Service (DMCS) stöder ett brett spektrum av rättsliga ramverk. Från europeiska GDPR över kanadensiska PIPEDE till kinesiska PIPL. I grunden för all datasekretess ligger antagandet att data tillhör individer och att organisationer bara är förvaltare av data. Med den förståelsen blir det tydligt att alla Persona Data måste ha en lagringsperiod - och måste raderas innan det blir olagligt att behålla

GDPR var den första stora dataskyddslagstiftningen som, på grund av sin övergripande räckvidd, har påverkat nästan all global dataskyddslagstiftning. Som framgår nedan är det dock viktigt att notera att GDPR har sina rötter i EU-stagdan om de grundläggande rättigheterna.

 

Nedan har vi beskrivit tio ramverk för regulatorretention som DMCS stöder direkt från start.

1. EU: Allmän dataskyddsförordning (GDPR):

Enligt GDPR är datalagring en viktig aspekt för att säkerställa efterlevnad. Organisationer måste upprätta tydliga datalagringspolicyer som fastställer den period under vilken personuppgifter får lagras. Principen om dataminimering betonas, vilket innebär att personuppgifter endast ska lagras så länge som det är nödvändigt för det angivna syftet. Organisationer måste dokumentera sina lagringsperioder och informera enskilda personer om hur länge deras uppgifter kommer att lagras. GDPR kräver också att organisationer genomför lämpliga säkerhetsåtgärder för att skydda lagrade uppgifter under lagring.

https://gdpr.eu

2. USA: Kaliforniens konsumentskyddslag (CCPA):

CCPA ger konsumenter rätt att begära radering av sina personuppgifter som innehas av företag. Som en följd av detta måste organisationer upprätta policyer för datalagring som överensstämmer med dessa rättigheter. Även om CCPA inte anger någon specifik lagringsperiod, understryker den behovet av att organisationer informerar individer om sin praxis för datalagring. Företagen måste upplysa om vilka kategorier av personuppgifter som samlas in, syftet med insamlingen och hur länge uppgifterna kommer att lagras. Efterlevnad av datalagringspolicyer och snabb radering av data på begäran är avgörande för att uppfylla CCPA-kraven.

https://oag.ca.gov/privacy/ccpa

3. Kanada: Lagen om skydd av personuppgifter och elektroniska dokument (PIPEDA):

Enligt PIPEDA måste organisationer ha tydliga och rimliga riktlinjer för lagring av uppgifter. Lagen betonar vikten av att begränsa lagringen av personuppgifter till vad som är nödvändigt för att uppfylla de identifierade syftena. Organisationer måste specificera hur personuppgifter samlas in och lagras och kommunicera dessa syften till enskilda personer. PIPEDA föreskriver dessutom att organisationer måste ha riktlinjer och rutiner för att förstöra eller anonymisera personuppgifter när de inte längre behövs för de angivna ändamålen.

https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/r_o_p/

4. Brasilien: Allmän dataskyddslag (LGPD):

LGPD erkänner vikten av datalagringspolicyer för att säkerställa skyddet och integriteten för personuppgifter. Det kräver att organisationer fastställer specifika syften för databehandling och lagrar data under den tid som krävs för att uppnå dessa syften. Organisationer måste informera enskilda om lagringsperioden och de kriterier som används för att fastställa hur länge uppgifterna ska lagras. LGPD betonar dessutom behovet av lämpliga säkerhetsåtgärder för att skydda lagrade uppgifter och förhindra obehörig åtkomst eller utlämnande.

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm

5. Singapore: Lag om skydd av personuppgifter (PDPA):

Enligt PDPA måste organisationer fastställa policyer för datalagring som överensstämmer med syftet med insamlingen. Personuppgifter ska inte lagras längre än nödvändigt för att uppfylla de angivna syftena, och organisationer ska dokumentera sina lagringsperioder. PDPA betonar också vikten av att genomföra lämpliga säkerhetsåtgärder för att skydda lagrade uppgifter från obehörig åtkomst, utlämnande eller förlust.

https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act

6. Australiska lagen om skydd av privatlivet: (APA)

Även om den australiensiska sekretesslagen inte uttryckligen anger specifika lagringsperioder, betonar den principen om dataminimering. Organisationer förväntas upprätta policyer för datalagring som säkerställer att personuppgifter endast lagras så länge som det är nödvändigt för att uppfylla de identifierade syftena. Dessutom understryker lagen behovet av att organisationer genomför lämpliga säkerhetsåtgärder för att skydda lagrade uppgifter från obehörig åtkomst, missbruk, störningar, förlust eller utlämnande.

https://www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act

7. USA:s Health Insurance Portability and Accountability Act (HIPAA):

HIPAA innehåller bestämmelser om datalagring inom hälso- och sjukvårdssektorn. Omfattade enheter och affärspartner är skyldiga att lagra skyddad hälsoinformation (PHI) under angivna perioder för att uppfylla rättsliga och affärsmässiga krav. HIPAA föreskriver ingen specifik lagringsperiod men betonar behovet av att implementera policyer och procedurer för lagring och bortskaffande av data. Organisationer bör ta hänsyn till delstatliga och federala lagar när de fastställer policyer för datalagring av PHI.

https://www.hhs.gov/hipaa/index.html

8. STORBRITANNIEN: Lagen om skydd av personuppgifter:

Data Protection Act 2018, i kombination med GDPR, kräver att organisationer har policyer för datalagring på plats. Personuppgifter får endast lagras så länge som det är nödvändigt för de angivna ändamålen. Lagen betonar behovet av att organisationer informerar enskilda om lagringsperioderna och de kriterier som används för att fastställa hur länge uppgifterna ska lagras. Dessutom måste lämpliga säkerhetsåtgärder vidtas för att skydda de lagrade uppgifterna.

www.gov.uk/data-protection

9. Kina: Lag om skydd av personuppgifter (PIPL):

Enligt PIPL i Kina ska organisationer upprätta policyer för lagring av uppgifter för databehandlingssyften. Personuppgifter får endast lagras så länge som det är nödvändigt för att uppfylla de angivna syftena. Organisationer måste informera enskilda om lagringstiden och de kriterier som används för att fastställa hur länge uppgifterna ska lagras. Lagen kräver också att organisationer genomför säkerhetsåtgärder för att skydda lagrade uppgifter från obehörig åtkomst, utlämnande eller förlust.

http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm

Indien: Lagförslag om skydd av personuppgifter (PDPB):

Den föreslagna PDPB i Indien betonar vikten av policyer för datalagring. Organisationer måste fastställa lagringsperioder baserat på syftet med databehandlingen. Personuppgifter får inte lagras längre än vad som är nödvändigt för att uppfylla de angivna ändamålen. PDPB kräver att organisationer informerar enskilda om lagringsperioderna och genomför lämpliga säkerhetsåtgärder för att skydda lagrade uppgifter.

https://www.meity.gov.in/writereaddata/files/The%20Digital%20Personal%20Data%20Protection%20Bill%2C%202022.pdf

Som alltid, läs källorna - lita inte på någon