数据是当今许多企业增长的动力。但通常情况下,企业收集的数据比他们需要的多,或者保存数据的时间比他们应该保存的时间长。
随着隐私和数据保护法规在世界各地的兴起,组织正在检查他们收集和保存的数据。许多法规要求组织尽量减少收集和存储的数据,并根据要求删除不必要的数据。
对于企业来说,这意味着努力和勤勉,因为那些过早或太晚删除数据的企业可能会受到敏感处罚。在本文中,我们将向您展示必须删除的数据类型以及应用的保留期限。
数据删除和数据保留的区别
在通用数据保护条例(GDPR)的背景下,数据删除和数据保留是两个具有不同含义的不同概念。以下是两者之间的关键区别:
数据删除(data deletion):数据删除是指从系统或数据库中永久删除个人数据的过程。根据GDPR,个人有权要求删除他们的个人数据,也被称为“被遗忘权”("right to be forgotten")。在没有合法理由保留数据的情况下,组织有义务遵守这些要求。当数据被删除时,它应该以一种不可恢复(irreversible)的方式被删除。
数据保留(data retention):数据保留是指将个人数据保存一段时间的做法。GDPR没有为不同类型的数据指定特定的保留周期。相反,各组织应根据收集数据的目的和它们可能承担的任何法律义务来确定适当的保留期限。根据尽量减少资料的原则,个人资料的保存时间不应超过所需时间。
数据删除和数据保留之间的主要区别包括:
-目的(Purpose):数据删除侧重于永久删除个人数据,而数据保留涉及确定个人数据应存储多长时间。
-个人权利(Individual Rights):数据删除与GDPR下的个人权利直接相关,例如删除的权利。另一方面,数据保留更关注组织实践和遵守法律要求。
—实施(Implementation):数据删除是从系统或数据库中删除个人数据的特定操作。然而,数据保留涉及制定政策和程序,以确定个人数据应保留多长时间,并确保遵守这些政策。
-法律义务(Legal Obligations):虽然数据删除是由个人权利(individual rights)驱动的,但数据保留受到法律义务(legal obligations)的影响,如税法(tax law)或就业法(employment law)规定的义务。组织可能被要求在特定时期内保留某些数据以履行这些义务。
总而言之,数据删除侧重于根据请求删除个人数据,而数据保留涉及根据组织政策和法律要求确定个人数据应存储多长时间。
数据删除和数据保留的关联
在通用数据保护条例(General Data Protection Regulation, GDPR)中,数据删除和数据保留是密切相关的概念。GDPR规定了处理个人数据的原则和要求,包括仅在必要时保留数据的义务。
以下是关于GDPR中数据删除和数据保留之间关系的一些关键点:
数据最小化(Data Minimization):GDPR强调数据最小化原则,这意味着组织应该只收集和保留为特定目的所需的个人数据。这一原则鼓励机构删除不再需要的个人资料。
合法、公平和透明(Lawfulness, Fairness, and Transparency):个人资料必须以合法、公平和透明的方式处理。这包括告知个人其数据的保留期。组织应该有明确的政策和程序,以确定个人数据将保留多长时间,并将这些信息传达给数据主体。
3.存储限制(Storage Limitation):GDPR要求个人数据以一种允许识别数据主体的形式保存,时间不超过处理数据的目的所必需的时间。这一原则意味着各组织应为不同类型的个人资料规定特定的保留期限,并在这些期限届满后将其删除。
删除权(被遗忘权)(Right to Erasure (Right to be Forgotten)):GDPR授予个人在特定情况下要求删除其个人数据的权利。这项权利允许个人在其数据对其收集目的不再必要时,当同意(consent)被撤回时,或当数据处理不合法时,删除其数据。
数据保留政策(Data Retention Policies):鼓励组织制定数据保留政策,列出不同类型的个人数据将被保留的具体期限。这些政策应该考虑法律要求、合同义务和业务需要。数据保留策略还应指定在保留期限过期后安全删除或匿名数据的程序。
总体而言,GDPR提倡对个人数据进行负责任和负责任的处理,包括为必要目的适当保留数据,以及在不再需要时删除数据。组织应该建立明确的政策和程序,以确保符合这些要求。