Politika uchovávání a likvidace údajů

Politika uchovávání a likvidace údajů (P14) stanovuje komplexní požadavky na uchovávání a bezpečnou likvidaci všech organizačních dat v průběhu jejich životního cyklu s cílem zajistit soulad, snížit riziko a podpořit provozní efektivitu. Tato politika se vztahuje na celou organizaci a zahrnuje každé fyzické i digitální informační aktivum vlastněné, zpracovávané nebo uchovávané společností, včetně aktiv spravovaných třetími stranami, dceřinými společnostmi a outsourcingovými partnery. Pokrytá aktiva sahají od digitálních souborů, databází, e-mailů a systémových záloh až po papírové záznamy a hardware vyřazený z provozu. Hlavním účelem politiky P14 je definovat přísné kontroly pro dobu uchovávání dat na základě právních, regulačních a provozních potřeb a zajistit jejich trvalé, bezpečné odstranění, jakmile již nejsou potřebná. Vynucováním jasných harmonogramů uchovávání dat a důsledných postupů likvidace politika podporuje požadavky ISO/IEC 27001:2022, umožňuje dohledatelné řízení záznamů a chrání důvěrnost, integritu a dostupnost dat. Politika zároveň pomáhá organizaci předcházet zbytečné akumulaci dat, která by mohla vést k porušení ochrany osobních údajů, neefektivitám nebo zvýšenému obchodnímu riziku. Role a odpovědnosti jsou v rámci politiky jasně vymezeny: výkonné vedení schvaluje a dohlíží na soulad; ředitel informační bezpečnosti (CISO) vlastní, definuje a monitoruje implementaci politiky; DPO poskytuje poradenství v oblasti ochrany osobních údajů a validuje nakládání s osobními údaji; a vlastníci informací zajišťují, že harmonogramy jsou odůvodněné a autorizované. Týmy IT odpovídají za implementaci technických opatření, zatímco všichni zaměstnanci, dodavatelé a relevantní třetí strany jsou povinni dodržovat pokyny pro uchovávání a likvidaci. Outsourcovaní dodavatelé a poskytovatelé cloudových služeb musí dodržovat smluvní požadavky na soulad a na vyžádání poskytnout auditní důkazy o likvidaci. Požadavky na správu stanovují vytvoření a udržování hlavního harmonogramu uchovávání dat (MDRS), který je přezkoumáván alespoň jednou ročně, a schvalování metod likvidace a certifikátů pro všechna data s ukončenou dobou uchovávání. Politika vynucuje doby uchovávání řízené klasifikací, navázané na obchodní potřeby a právní základy, a výslovně zakazuje neomezené, osiřelé nebo neschválené uchovávání dat. Speciální ustanovení řeší uchovávání záloh a archivů a zajišťují sladění s cíli prostředí pro obnovu po havárii a podporu výmazu dat na žádost dle GDPR nebo jiných zákonů na ochranu soukromí. Kontroly likvidace jsou vynucovány podle NIST SP 800-88 nebo rovnocenných doložek a nařizují nevratné a zdokumentované metody zničení jak digitálních, tak papírových médií. Právní blokace a pozastavení výmazu mají přednost před běžnými harmonogramy mazání v případě soudního řízení nebo vyšetřování a všechny výjimky z plánovaného uchovávání vyžadují posouzení rizik a schválení vedením. Činnosti vynucování a dodržování zahrnují pravidelné audity, kontroly souladu, hlášení porušení a disciplinární opatření dle potřeby. Politika rovněž vyžaduje průběžné školení povědomí zaměstnanců a pro jakékoli porušení nebo incident likvidace odkazuje na politiku reakce na incidenty (P30). Pravidelným přezkoumáváním a aktualizací politiky a synchronizací navázaných dokumentů, jako jsou politika řízení přístupu a politiky správy aktiv, organizace zajišťuje obhajitelný, efektivní a s předpisy sladěný přístup ke správě životního cyklu dat.