Overvinne begrensninger for datalagring og bevare dataintelligens
Overvinn lovlige oppbevaringsperioder og bevare data for å oppdage verdifulle mønstre, trender og forhold over tid med syntetiske data.
Hvor lenge kan personopplysninger lagres?
Til tross for den tilsynelatende strengheten i GDPRs datalagringsperioder, er det ingen regler om lagringsbegrensning. Organisasjoner kan sette sine egne frister basert på de grunner de finner passende, men organisasjonen må dokumentere og begrunne hvorfor den har satt den tidsrammen den har.
Beslutningen bør være basert på to nøkkelfaktorer: formålet med behandlingen av dataene, og eventuelle regulatoriske eller juridiske krav for å beholde dem. Så lenge et av formålene dine fortsatt gjelder, kan du fortsette å lagre dataene. Du bør også vurdere dine juridiske og regulatoriske krav for å beholde data. For eksempel, når dataene er underlagt skatt og revisjon, eller for å overholde definerte standarder, vil det være retningslinjer for lagring av data du må følge.
Du kan planlegge hvordan dataene dine skal brukes og om det vil være nødvendig for fremtidig bruk ved å lage et dataflytskart. Denne prosessen er også nyttig når det gjelder å finne data og fjerne dem når oppbevaringsperioden din er utløpt.
Dataminimeringsprinsipper under GDPR
Artikkel 5 (1) (c) i GDPR sier "Personopplysninger skal være: tilstrekkelige, relevante og begrenset til det som er nødvendig i forhold til formålene de behandles for."
Ideelt sett betyr dette at organisasjoner identifiserer minste mengde personopplysninger som trengs for å fylle formålet som dataene ble samlet inn for. Å bestemme hva som er "tilstrekkelig, relevant og begrenset" kan vise seg å være en utfordring for organisasjoner ettersom disse vilkårene ikke er definert av GDPR. For å vurdere om du holder på riktig mengde data, må du først være klar over hvorfor dataene er nødvendige og hvilken type data som samles inn. For spesielle kategorier eller kriminelle data blir bekymringene ytterligere forsterket.
Å samle inn personopplysninger på en sjanse for at det kan være nyttig i fremtiden, ville ikke være i samsvar med prinsippet om dataminimering. Organisasjoner bør med jevne mellomrom gjennomgå behandlingsaktivitetene sine for å sikre at personopplysninger forblir relevante, nøyaktige og tilstrekkelige for dine formål, og sletter alt som ikke lenger er nødvendig.
Av denne grunn er dataminimering nært knyttet til lagringsbegrensningsprinsippet.
Oppbevaringsbegrensninger som er fastsatt i GDPR
Artikkel 5 (1) (e) i GDPR sier: "Personopplysninger skal oppbevares i en form som gjør det mulig å identifisere registrerte ikke lenger enn det som er nødvendig for formålene som personopplysningene behandles for."
Det denne artikkelen sier er at selv om en organisasjon samler inn og bruker personopplysninger lovlig, kan de ikke beholde dem på ubestemt tid. GDPR angir ikke tidsfrister for dataene. Dette er opp til organisasjonen. Å følge prinsippene for lagringsbegrensning sikrer at data slettes, anonymiseres eller syntetiseres for å redusere risikoen for at dataene blir irrelevante og overdrevne eller unøyaktige og er tom for data. Fra et praktisk perspektiv er det ineffektivt å lagre flere personlige data enn du trenger med unødvendige kostnader knyttet til lagring og sikkerhet. Husk at organisasjoner må svare på forespørsler om tilgang til registrerte, dette blir vanskeligere jo mer data en organisasjon må sile gjennom. Å holde for store mengder data øker også risikoen forbundet med et databrudd.
Vedlikehold av oppbevaringsplaner viser hvilke typer informasjon du har, hva du bruker den til og når den må slettes. For å overholde dokumentasjonskravene må organisasjoner etablere og dokumentere standard oppbevaringsperioder for ulike kategorier av informasjon. Det er tilrådelig for organisasjoner å sikre at de overholder disse oppbevaringsperioder og gjennomgå oppbevaring med passende intervaller.
Beholder verdien av data
"Data er den nye oljen i den digitale økonomien". Ja, dette kan være en overhypet uttalelse, men de fleste vil være enige om at data er verdifulle og viktige for at organisasjoner skal realisere innovasjon, det lar organisasjoner se verdifulle mønstre, trender og forhold over tid for å støtte organisasjonen med praktisk innsikt.
Imidlertid krever dataminimeringsprinsippet og (spesifikke) juridiske datalagringsperioder at organisasjoner ødelegger data etter en viss tidsperiode. Følgelig må disse organisasjonene ødelegge grunnlaget for realisering av datadrevet innovasjon: data. Uten data og en rik database med historiske data vil realiseringen av datadrevet innovasjon bli utfordrende. Derfor introduserer dette en situasjon der organisasjoner ikke kan oppdage verdifulle mønstre, trender og forhold over tid for å støtte organisasjonen med praktisk innsikt på grunn av ødelagte data.
Så hvordan overvinner du disse utfordringene mens du bevarer dataintelligens?
Du kan omgå tidsfrister for datalagring ved å lage syntetiske data eller ved å anonymisere data; dette betyr at informasjonen ikke kan kobles til et identifiserbart registrert. Hvis dataene dine er anonymisert, lar GDPR deg beholde den så lenge du vil.
Du bør imidlertid være forsiktig når du gjør dette. Hvis informasjonen kan brukes sammen med annen informasjon organisasjonen har for å identifisere et individ, er den ikke tilstrekkelig anonymisert. denne bloggen illustrerer og forklarer hvorfor klassiske anonymiseringsteknikker mislykkes, og i denne bruken av dataoppbevaring gir det ingen løsning.
Hva skal jeg gjøre med data etter oppbevaringsperioden
Du har tre alternativer når fristen for datalagring utløper: du kan slette, anonymisere eller opprette syntetiske data.
Hvis du velger å slette dataene, må du sørge for at alle kopier er kastet. For å gjøre dette må du finne ut hvor dataene er lagret. Er det en digital fil, papirkopi eller begge deler?
Det er lett å slette papirkopidata, men digitale data etterlater ofte et spor, og kopier kan ligge i glemte filservere og databaser. For å overholde GDPR må du sette dataene ut av bruk. Alle kopier av dataene bør fjernes fra live- og backup-systemer.
I samsvar med prinsippet om dataminimering for å begrense bruken av personopplysninger til det som er strengt nødvendig, indikerte organisasjonen din en oppbevaringsbegrensning. Når det øyeblikket kommer, er det på tide å slette dataene dine. Men vent! Dataene dine er gullet ditt. Ikke kast gullet ditt!
Hvordan anonymiserer du dataene?
Du kan anonymisere dataene ved å gjøre dem om til syntetiske data for å fortsette å trekke verdi og bevare dataintelligens.
Hvordan opprettes syntetiske data?
Nye og oppfinnsomme teknikker er utviklet for å generere syntetiske data. Denne strategien lar organisasjonen din hente verdi fra dataene sine, selv etter at den har slettet personopplysningene. Med denne nye syntetiske dataløsningen som Syntho, genererer du et syntetisk datasett basert på det opprinnelige datasettet i Syntho. Etter at du har generert det syntetiske datasettet, kan du slette det originale datasettet (for eksempel i Personvernsub) og fortsette å utføre analyse på det syntetiske datasettet, og beholde dataintelligensen uten personopplysningene. Ganske kult.
Organisasjoner er nå i stand til å bevare data over tid i syntetisk form. Der de opprinnelig var begrenset i realiseringen av datadrevet innovasjon, vil de nå ha et sterkt grunnlag for å realisere datadrevet innovasjon (over tid). Dette gjør at organisasjonene kan se verdifulle mønstre, trender og forhold over tid basert på (delvis) syntetiske data, slik at de kan støtte organisasjonen med praktisk innsikt.
Hvorfor bruker kundene våre syntetiske data?
Bygg et sterkt grunnlag for å realisere innovasjoner med ...
1
Ingen risiko
2
Flere data
3
Raskere tilgang til data
Data er syntetiske, men teamet vårt er ekte!
Kontakt Syntho og en av våre eksperter vil kontakte deg med lysets hastighet for å utforske verdien av syntetiske data!