Andmete säilitamise ja kõrvaldamise poliitika – VKE

Andmete säilitamise ja kõrvaldamise poliitika – VKE (poliitika P14S) on koostatud spetsiaalselt väikestele ja keskmise suurusega ettevõtetele (VKEdele), arvestades piiranguid ja eripäraseid vastutusi, millega sellised organisatsioonid silmitsi seisavad. See poliitika on täielikult kohandatud VKEdele, mida näitab tegevjuhi roll poliitika omanikuna, ilma eelduseta, et olemas on spetsialiseeritud rollid nagu turbeoperatsioonide keskus või infoturbejuht, tagades samal ajal vastavuse juhtivatele raamistikele nagu ISO/IEC 27001:2022, GDPR ja seotud regulatsioonid. Selle poliitika peamine eesmärk on kehtestada selged ja jõustatavad reeglid teabe säilitamiseks ja turvaliseks kõrvaldamiseks, tagades, et kirjeid hoitakse alles ainult nii kaua, kui seda nõuavad seadus, lepingud või ärivajadus. Pärast nende nõuete täitmist tuleb teave pöördumatult hävitada. Poliitika käsitleb õigusliku kokkupuute ja operatsiooniriski minimeerimise olulisust, ennetades volitamata või üleliigset andmete säilitamist. Samuti rõhutab see hästi juhitud säilitamise ja kõrvaldamise eeliseid auditivalmiduse, kulude vähendamise ja süsteemide toimivuse parandamise seisukohast. VKEde jaoks on poliitika praktiline vahend nii digitaalsete kui ka paberil andmevarade vastutustundlikuks haldamiseks, sõltumata IT-meeskonna suurusest. Kohaldamisala hõlmab kõiki kirjete liike, äridokumente, operatsioonilogisid, finantsfaile ja isikuandmeid ning kehtib iga andmekandja kohta alates kohalikest ketastest ja pilvesüsteemidest kuni paberarhiivide ja varukoopiateni. Kõik töötajad, töövõtjad ja kolmandate osapoolte teenuseosutajad, kes käitlevad organisatsiooni andmeid, on selle poliitikaga seotud. Poliitika katab andmete elutsükli kõik etapid alates loomisest kuni turvalise kõrvaldamise või hävitamiseni. Oluline omadus on rollide ja vastutuste selge eristamine. Tegevjuht annab heakskiidu, tagab kooskõla õigus- ja äririskiga ning käsitleb erandeid ja õiguslikku säilitamiskohustust. Määratud andmeomanikud määratakse andmekategooriate kaupa ning vastutavad klassifitseerimise, säilitamisperioodide määramise ja kustutuste autoriseerimise eest; nad toetavad ka auditiprotsesse. IT-tugiteenuse osutaja või sisemine IT-juht vastutab süsteemide seadistamise eest säilitamisreeglite, kõrvaldamise logimise ja turvalise kustutamise jaoks, sh varukoopiate ja arhiivide puhul. Töötajatelt ja töövõtjatelt oodatakse poliitika järgimist, ebaõige säilitamise vältimist, omanikuta andmete raporteerimist ning ainult heakskiidetud süsteemide kasutamist andmete salvestamiseks. Juhtimisnõuete keskmes on üksikasjaliku säilitamisregistri pidamine, mis loetleb kirjete kategooriad, määratud perioodid, kõrvaldamismeetodid, õigusliku põhjenduse ja andmeomanikud. Seda registrit tuleb üle vaadata iga-aastaselt või asjakohaste õiguslike või äriliste päästikute korral. Kõrvaldamismeetodid valitakse andmete klassifitseerimise alusel, kasutades turvalisi protseduure nagu ristlõikega purustamine, krüptograafiline kustutamine või andmekandjate füüsiline hävitamine. Õiguslik säilitamiskohustus on selgesõnaliselt kirjeldatud: kui see on rakendatud, takistab see kustutamist sõltumata planeeritud säilitamisperioodist ning nõuab igakuist ülevaatust. Poliitika näeb ette ka personali koolituse ja iga-aastase korduskoolituse, et tagada teadlikkus. Erandeid kontrollitakse rangelt, koos dokumenteerimise, heakskiidu, läbivaatamise ja põhjendatud aegumise protsessidega. Jõustamismehhanismid hõlmavad regulaarseid auditeid, pistelisi kontrolle ja rangeid tagajärgi rikkumiste korral, kuni ja sealhulgas lepingu lõpetamiseni või regulatiivse teavitamiseni isikuandmete väärkäitlemise korral. Kokkuvõttes tagab see poliitika, et VKE saab tegutseda õiguslikult nõuetele vastaval, auditeeritaval ja ressursitõhusal viisil ka siis, kui puuduvad arenenud IT-turberollid. See on loodud kooskõlastamiseks ISO/IEC 27001:2022 ja andmekaitseõigusega, andes VKEdele tugeva aluse andmete elutsükli halduseks ilma tarbetu keerukuseta.