Polityka retencji danych i utylizacji – SME

Polityka retencji danych i utylizacji – SME (Polityka P14S) została opracowana specjalnie dla małych i średnich przedsiębiorstw (SME), z uwzględnieniem ograniczeń oraz specyficznych odpowiedzialności, z jakimi mierzą się takie organizacje. Polityka jest w pełni dostosowana do SME, co widać m.in. w tym, że właścicielem polityki jest dyrektor generalny, bez założenia istnienia wyspecjalizowanych ról, takich jak centrum operacji bezpieczeństwa (SOC) czy dyrektor ds. bezpieczeństwa informacji (CISO), przy jednoczesnym zapewnieniu zgodności z wiodącymi ramami, takimi jak ISO/IEC 27001:2022, GDPR oraz powiązane regulacje. Głównym celem tej polityki jest ustanowienie jasnych, egzekwowalnych zasad retencji informacji i bezpiecznej utylizacji informacji, tak aby zapisy były przechowywane wyłącznie tak długo, jak wymagają tego przepisy prawa, umowy lub potrzeby biznesowe. Po spełnieniu tych wymagań informacje muszą zostać nieodwracalnie zniszczone. Polityka podkreśla znaczenie minimalizacji ekspozycji prawnej i ryzyka operacyjnego poprzez zapobieganie nieuprawnionej lub zbędnej retencji danych. Wskazuje również korzyści wynikające z dobrze zarządzanej retencji i utylizacji w kontekście gotowości do audytu, redukcji kosztów oraz poprawy wydajności systemów. Dla SME polityka stanowi praktyczny sposób odpowiedzialnego zarządzania zarówno cyfrowymi, jak i papierowymi aktywami danych, niezależnie od wielkości zespołu IT. Zakres obejmuje wszystkie typy zapisów, dokumenty biznesowe, rejestry operacyjne, pliki finansowe, dane osobowe oraz dotyczy każdego nośnika przechowywania — od dysków lokalnych i systemów hostowanych w chmurze po przechowywanie papierowe i systemy kopii zapasowych. Wszyscy pracownicy i kontraktorzy oraz dostawcy usług stron trzecich, którzy przetwarzają dane organizacji, są związani tą polityką. Polityka obejmuje każdy etap cyklu życia danych — od utworzenia po bezpieczną utylizację lub zniszczenie. Kluczową cechą jest jasne rozgraniczenie ról i odpowiedzialności. Dyrektor generalny zapewnia zatwierdzenie, dba o zgodność z ryzykiem prawnym i biznesowym oraz obsługuje wyjątki oraz zabezpieczenie prawne i wstrzymanie usuwania. Wyznaczeni właściciele danych są przypisywani według kategorii danych i odpowiadają za klasyfikację, określanie okresów retencji oraz autoryzowanie usunięć; wspierają także procesy audytowe. Dostawca wsparcia IT lub wewnętrzny lider IT odpowiada za konfigurację systemów pod kątem zasad retencji, rejestrowania utylizacji oraz bezpiecznego usuwania, w tym dla systemów kopii zapasowych i archiwów. Pracownicy i kontraktorzy mają obowiązek przestrzegać polityki, unikać niewłaściwej retencji, zgłaszać osierocone konta danych oraz korzystać wyłącznie z zatwierdzonych systemów do przechowywania danych. Podstawowe wymagania ładu korporacyjnego koncentrują się na utrzymywaniu szczegółowego rejestru retencji, który zawiera kategorie zapisów, przypisane okresy, metody utylizacji, uzasadnienie prawne oraz właścicieli danych. Rejestr ten musi być przeglądany corocznie lub po wystąpieniu odpowiednich wyzwalaczy prawnych lub biznesowych. Metody utylizacji są dobierane na podstawie klasyfikacji danych, z wykorzystaniem bezpiecznych procedur, takich jak niszczenie w ścinku krzyżowym, usuwanie kryptograficzne lub fizyczne zniszczenie nośników. Zabezpieczenie prawne i wstrzymanie usuwania jest opisane wprost — po zastosowaniu uniemożliwia usunięcie niezależnie od zaplanowanego okresu retencji i wymaga comiesięcznego przeglądu. Polityka wymaga również szkoleń personelu oraz corocznego szkolenia przypominającego w celu utrzymania świadomości. Wyjątki są ściśle kontrolowane, z procesami dokumentowania, zatwierdzania, przeglądu oraz uzasadnionego terminu wygaśnięcia. Mechanizmy egzekwowania obejmują regularne audyty, kontrole wyrywkowe oraz surowe konsekwencje naruszeń, aż do rozwiązania umowy lub obowiązków sprawozdawczych w przypadku niewłaściwego postępowania z danymi osobowymi. Ostatecznie polityka zapewnia, że SME może działać w sposób zgodny z prawem, audytowalny i efektywny zasobowo, nawet gdy zaawansowane role ds. bezpieczeństwa IT nie są obecne. Została opracowana w celu zapewnienia zgodności z ISO/IEC 27001:2022 oraz przepisami dotyczącymi prywatności, dając SME solidną podstawę do zarządzania cyklem życia danych bez zbędnej złożoności.