Számos adatvédelmi bírság született az elmúlt években a GDPR egyik sarkalatos alapelvének, a korlátozott tárolhatóság elvének megsértése miatt. Júliusban a francia adatvédelmi hatóság (CNIL) 1.75 millió euróra büntetett egy francia biztosítótársaságot, mert tovább tárolta leendő és meglévő ügyfeleinek adatait, mint ameddig az megengedett lett volna.
Többek között az alábbi kritériumokat érdemes figyelembe vennie a személyes adatok tárolásával kapcsolatban, amennyiben cége személyes adatokat kezel:
- Az adatkezelőnek minden adatkezelés esetében meg kell állapítania és le kell dokumentálnia, hogy az egyes adatkezeléseknél mennyi ideig őrizheti meg a személyes adatokat. A GDPR nem határoz meg konkrét időintervallumokat, hanem kimondja, hogy az adatok addig tárolhatók, ameddig a személyes adatok kezelése annak célja eléréséhez szükséges.
- Ezt követően az adatok törölni vagy anonimizálni szükséges.
- Érdemes olyan informatikai megoldásokat alkalmazni, melyekbe már eleve be van építve az adattörlés technikai lehetősége.
- Hasznos olyan belső szabályzatot kialakítani a cégen belül, mely előírja az e-mail postafiókok, saját, illetve közös mappák, fájlmegosztó platformok rendszeres, időközönkénti átvizsgálását és a „lejárt” adatok törlését.
- A belső adatkezelési nyilvántartásba, illetve az adatvédelmi tájékoztatóba bele kell foglalni az egyes adatkategóriák tárolásának időtartamát.
- Ne feledkezzen el a papír alapú, személyes adatokat tartalmazó dokumentumokról se, ezekre ugyanúgy vonatkozik az adattárolhatóság elve.
Amennyiben nem biztos abban, hogy cége megfelelő ideig tárolja a személyes adatokat, keressen minket bizalommal.
