Koliko časa hraniti osebne podatke? Kako zavarovati dokumentacijo in e-arhive, da bodo ti ustrezali zahtevam GDPR? Kakšne so posledice, če osebne podatke izgubimo? To je le nekaj vprašanj, ki se vsak dan porajajo vsaki organizaciji.

Rok hrambe

Začnimo kar pri vprašanju, koliko časa smemo osebne podatke hraniti. Odgovor je odvisen predvsem od pravne podlage, na kateri osebne podatke hranimo. Če nam določen zakon nalaga, da moramo osebne podatke hraniti določen čas, potem moramo seveda upoštevati zakonsko zahtevo. Takšen primer so osebni podatki zaposlenih, ki jih je treba (večinoma) hraniti trajno. Če osebne podatke obdelujemo, denimo, na podlagi osebne privolitve, potem te lahko obdelujemo samo do preklica privolitve (klasičen primer je pošiljanje e-novic). In če osebne podatke hranimo zaradi izvajanja neke poslovne pogodbe, potem je rok hrambe po navadi pet let od izpolnitve pogodbe oziroma poplačila vseh obveznosti.

Zato je seveda še kako pomembno, da že ob začetku obdelave osebnih podatkov prepoznamo ustrezno pravno podlago, kar pogosto ni tako enostavno. Posebej zato, ker je pravnih podlag za obdelavo osebnih podatkov po GDPR šest in vsaka od njih za seboj neizogibno pripelje drugačne rezultate (ne le pri roku hrambe, pač pa tudi pri pravicah posameznikov): »Napačna izbira pravnega temelja in/ali napačno določen rok hrambe podatkov lahko za organizacijo pomenita izgubo težko pridobljenih osebnih podatkov (npr. e-naslovov za neposredno trženje). Temu strošku je treba prišteti še globo v višini do 4 % globalnega letnega prometa organizacije,« poudarja Tina Kraigher Mišič, strokovna direktorica Info hiše d. o. o., ki je v Sloveniji prepoznana kot podjetje, ki rešuje najtežja vprašanja o GDPR in ima tudi najboljše strokovnjake na tem področju. Doda še: »Če je kršitev hujša in se zato znajdete celo v medijih, potem pride tudi do izgube zaupanja strank in padca ugleda organizacije – po nekaterih raziskavah pa 1 % padca ugleda privede tudi do 3 % padca prodaje.«

Kako pravilno hraniti?

Če hranite osebne podatke »na papirju«, morate zagotoviti, da se ti hranijo v prostorih ali omarah, ki ustrezajo ustrezni zaščiti glede na vašo lokacijo – to pomeni, da morajo biti dokumenti zaščiteni pred morebitnim uničenjem (npr. pred požarom, poplavo, izlitjem vode, krajo dokumentov ...). Prav tako morate zagotoviti ustrezno sledljivost obdelav osebnih podatkov (kdo in kdaj je določen osebni podatek obdelal, kar vključuje tudi vpoglede), kar je seveda pogosto težko zagotoviti. Zato se e-poslovanje tudi na področju GDPR predstavlja kot optimalna rešitev. Kljub prihranku stroškov in skrbi za okolje pa seveda e-svet prinese tudi svoje zahteve varovanja informacij. GDPR želi biti na tem področju tehnološko nevtralen, vendarle pa se praksa nadzornih organov (tudi v Sloveniji) naslanja na mednarodno priznane standarde varovanja informacij, kot sta ISO/IEC 27001 in ISO/IEC 27002.

Na splošno lahko rečemo, da je treba za osebne podatke (pa tudi za druge občutljivejše podatke, kot so poslovne skrivnosti, varstvo patentov, izumov ...) uporabiti tri osnovna načela: celovitost, zaupnost, razpoložljivost. »Kako konkretizirati posamezno načelo oziroma ga prenesti v prakso, je odvisno predvsem od občutljivosti podatkov in njihove količine ter osnovne analize tveganja,« razloži Klemen Kraigher Mišič, direktor Info hiše d. o. o., »vsekakor pa morajo večji upravljavci osebnih podatkov in upravljavci, ki obdelujejo občutljivejše podatke, zagotavljati višje standarde varovanja informacij, med drugim tudi avtentičnost revizijske sledi, kar v strojni obliki lahko prinese visoke stroške. Prav zato smo se odločili, da skupaj z našim partnerjem razvijemo prav poseben sistem zagotavljanja avtentičnosti revizijske sledi, ki bo cenovno tako ugoden, da si ga bo lahko privoščil prav vsak upravljavec osebnih podatkov. Inovativen produkt bomo upravljavcem ponudili do konca tega leta.«

Vir: Klemen Kraigher Mišič, direktor Info hiše d. o. o.