Bewaartermijnen
Definitie van bewaartermijnen
Bewaartermijnen zijn een van de grondbeginselen van de bescherming van persoonsgegevens.
Het principe van beperkte bewaartermijnen verankert het recht van individuen om vergeten te worden.
Een verplichting die voortvloeit uit artikel 5 van de AVG.
Een vorm die identificatie mogelijk maakt
Persoonsgegevens mogen binnen bepaalde grenzen in direct of indirect identificerende vorm en voor onbepaalde tijd worden bewaard door organisaties. Noodzakelijk voor de doeleinden Gegevens moeten voor een minimumperiode worden verwerkt.
Gegevensverwerking moet gedurende een beperkte periode plaatsvinden, op een wijze die in overeenstemming is met het nagestreefde doel (met andere woorden: het doel).
Een verplichting om te documenteren in het register van de verwerkingsactiviteiten voorzien in artikel 30 van de GDPR
Een verplichting om informatie te verstrekken aan betrokkenen zoals bepaald in de artikelen 13 en 14 van de AVG
Het is daarom noodzakelijk om te bepalen:
Een vaste bewaartermijn, overeenkomstig de levenscyclus van de gegevens.
Een objectief criterium om deze periode te bepalen.
De levenscyclus van gegevens
De levenscyclus van gegevens kan worden onderverdeeld in drie fasen.
De gegevensbeschermingsautoriteit gids over bewaartermijnen geeft duidelijkheid over de documentatie die moet worden verstrekt over bewaartermijnen:
Het register waarin de verwerkingsactiviteiten en de bijbehorende bewaartermijnen moeten worden opgenomen;
Een referentiedocument waarin, bijvoorbeeld in de vorm van een tabel, de bewaartermijnen voor de verschillende fasen in de levensduur van de gegevens voor elke Verwerking zijn gecentraliseerd (de SIAF-aanbevelingen kunnen worden opgenomen in de interne tabellen voor archiefbeheer van de organisatie);
De verschillende ondernomen acties, Begrepen of deze acties nog lopen;
de schriftelijke instructies aan de subcontractant met betrekking tot de duur.
De procedures voor het archiveren van gegevens, indien van toepassing, en in het bijzonder in het geval van verplichte deponering voor de permanente archivering van openbare documenten (deponeringsbewijs, enz.);
De procedure voor het vernietigen van gegevens, indien van toepassing (verwijderingsformulier, enz.);
Het beleid voor opruimbeheer en de opruimmatrix in geval van archivering, enz.
Met Dastra kun je de verschillende gegevenslevenscycli invullen en de bewaarperioden aanpassen aan elke set gecreëerde gegevens
Hoe bepaalt u ze?
Door het principe van gegevensbescherming al in de ontwerpfase toe te passen:
Definieer het precieze doel**, d.w.z. waarvoor de persoonsgegevens zullen worden gebruikt;
De verschillende levenscycli van deze gegevens, de toepasselijke tijdsperioden en de betrokken gegevens;
De personen identificeren die de gegevensverwerking** moeten uitvoeren tijdens het huidige gebruik en diegenen die de gegevens tussentijds archiveren; de traceerbaarheid van de toegang tot gearchiveerde gegevens garanderen;
voorzien in een automatische** en selectieve procedure voor het wissen van gegevens (voor openbare archieven moet de persoon die verantwoordelijk is voor de wetenschappelijke en technische controle toestemming geven voor het wissen);
Als een anonimiseringsproces wordt overwogen, controleer dan of de gegevens het niet mogelijk maken dat de betrokkenen aan het einde van het proces worden "geheridentificeerd".
Waar vindt u de referenties?
Vertrouw op wettelijke of reglementaire bepalingen
gegevensbeschermingsautoriteit-overleg
Voor openbare archieven, de aanbevelingen van de Archives de France
Sectorspecifieke referenties
Als geen tekst of norm oplossingen biedt, moet de duur worden bepaald die het meest geschikt is om het doel van de verwerking te bereiken in overeenstemming met het principe van verantwoordelijkheid.
Wie is erbij betrokken?
De afdeling die verantwoordelijk is voor de uitvoering van de Verwerking (dit kan een subcontractant zijn) verstrekt alle informatie die nodig is om haar vereisten te begrijpen en zo de duur van het huidige gebruik van de gegevens in kwestie te bepalen;
De functionaris voor gegevensbescherming (Data Protection Officer, DPO)** is de belangrijkste contactpersoon wanneer hij/zij is aangesteld; hij/zij is verantwoordelijk voor het waarborgen van de naleving van de verwerkingen binnen de organisatie en voor het adviseren van de Verwerkingsverantwoordelijke;
De interne archiefdienst van de organisatie of de lokale overheid, indien van toepassing, kan informatie verstrekken over gegevensbewaringspraktijken voor de betreffende Verwerking (levenscyclusbeheer van gegevens, enz.);
Advies**, zowel intern binnen de organisatie (bijv. de juridische afdeling van een bedrijf) als extern (bijv. een advocaat, digitaal dienstenbedrijf, enz.). Dit laatste kan in het bijzonder helpen om de toepasselijke wet- en regelgeving na te leven;
De beroepsfederatie** waartoe de Verwerkingsverantwoordelijke behoort, kan haar netwerk ondersteunen bij het bepalen van de bewaartermijnen.
In de publieke sector (voor overheidsorganen en voor particuliere organen met een openbare dienstverleningstaak) zijn de geprefereerde contactpersonen de departementale archiefdienst met territoriale bevoegdheid (voor gedecentraliseerde departementen en lokale overheden en hun groeperingen), of de archiefdienst van het toezichthoudende ministerie (voor centrale overheidsdepartementen). Deze contactpersonen kunnen de organisatie informeren over de verplichtingen die op haar van toepassing zijn en begeleiden bij de uitvoering ervan (bepalen van de DUA en de eindbestemming).
Hoe controleren?
De praktische uitvoering van bewaartermijnen moet regelmatig worden gecontroleerd. Het is daarom noodzakelijk om regelmatig audits uit te voeren. De DPO heeft de taak om de Verwerkingen te controleren, inclusief de bewaartermijnen.
De Audit-functionaliteit van Dastra is ideaal voor dit doel:
Audits en PIA'sOm verder te gaan
Last updated