Politika pohrane podataka
1. SVRHA
Svrha ove politike je opisati postupke za čuvanje i brisanje podataka, te odrediti vrijeme čuvanja pojedinih tipova podataka, kako bi se osiguralo dosljedno provođenje mjera zaštite podataka kao i dokumentiranje poduzetih radnji. Ako nije drugačije navedeno, ova Politika odnosi se na podatke u elektronskom i papirnom obliku koji se koriste unutar Unilinea bez obzira na način prikupljanja i pohrane.
2. POHRANA I UNIŠTAVANJE PODATAKA
Dokumentaciju treba čuvati dokle god je potrebna za zadovoljavanje poslovnih potreba Unilinea, poštujući pravne i regulatorne zahtjeve. Uniline će odrediti dužinu čuvanja na način da će: • odrediti vrijednost podataka za Uniline, usluge koje nudi i poslovne odnose te okruženje. • procijeniti važnost podataka kao dokaza poslovnih aktivnosti i/ili odluka. • utvrditi postoje li zakonski ili regulatorni zahtjevi za čuvanje.
2.1. Minimalno vrijeme čuvanja
Minimalno vrijeme čuvanja je ključan dio zaštite podataka i potrebno ga je revidirati barem jednom godišnje, a točan popis vrste podataka i vremena čuvanja nalazi se kod službenika za zaštitu podataka. Postoje dvije glavne odluke vezane uz brisanje ili čuvanje zapisa i dokumenata: • brisati nakon dogovorenog/određenog razdoblja - gdje se korisni vijek zapisa može lako unaprijed odrediti (npr. uništiti nakon 3 godine, uništiti 11 godina nakon završetka Ugovora). • odabir za trajno čuvanje - gdje se određene skupine zapisa definiraju kao dostojne trajnog očuvanja.
2.2. Uništavanje
Podaci koji nisu osjetljive prirode (npr. letci i drugi slični materijali koji su javno dostupni) mogu se jednostavno baciti u smeće, dok se podaci u papirnatom obliku moraju uništiti (npr. pomoću uništavača papira, rezanjem, usitnjavanjem) na način da se onemogući postupak naknadnog uvida u podatke. Elektronička oprema i mediji (npr. CD/DVD/USB/tvrdi disk) koji sadrže povjerljive podatke moraju se fizički uništiti ili softverski višestruko obrisati kako bi se onemogućio postupak naknadnog uvida u podatke. Podaci u bazama podataka moraju biti obrisani ili u određenim slučajevima anonimizirani na način da se ne mogu jedinstveno identificirati osobe na koje se podaci odnose.
2.3. Dijeljenje podataka
Tijekom poslovanja može doći do dupliciranja podataka, na način da se isti podaci čuvaju na više različitih lokacija (npr. u papirnatom i elektroničkom obliku, šalju se putem e-maila/pošte drugim poslovnim subjektima). Sve duplicirane podatke je potrebno identificirati i redovno brisati kopije. Najkasnije sa propisanim rokom čuvanja potrebno je izbrisati sve kopije i originalnu verziju podataka. U slučaju kada se podaci razmjenjuju sa drugim poslovnim subjektima, potrebno je omogućiti odgovarajuće postupke za evidenciju u svrhu osiguranja upravljanja podacima u skladu s relevantnim zakonskim i regulatornim smjernicama.
2.4. Arhiviranje dokumenata
Dokumenti se arhiviraju u predviđene ormare ili prostore od strane djelatnika Unilinea. Arhivski prostor treba biti zaključan te mora biti onemogućen pristup neovlaštenim osobama. Arhiviraju se dokumenti koji više nisu potrebni, kao i tekuća dokumentacija.
2.5. Revizorski trag
Brisanje dokumenata koji su navedeni u rasporedu čuvanja podataka, ne mora biti dokumentirano. Dokumenti koji se brišu ranije ili čuvaju dulje od navedenog, moraju se evidentirati u svrhu revizije.