Batas ng Dutch ay gumagamit ng dalawang panig na pamamaraan sa pagpapanatili ng datos ng customer. Ang mga rekord ng negosyo tulad ng mga dokumentong pinansyal ay dapat panatilihin nang hindi bababa sa pitong taon sa ilalim ng batas sa buwis, habang ang personal na datos sa ilalim ng GDPR hindi dapat itago nang mas matagal kaysa sa kinakailangan para sa nilalayon nitong layunin.
Lumilikha ito ng maingat na balanse sa pagitan ng pagtupad sa mga legal na obligasyon at paggalang sa mga karapatan sa privacy.
Maraming organisasyon ang nahihirapang maunawaan kung gaano katagal nila legal na maaaring iimbak ang iba't ibang uri ng impormasyon ng customer. Nag-iiba ang mga patakaran depende sa kung ang iyong tinutukoy ay mga rekord sa pananalapi, datos ng empleyado, o pangkalahatang detalye ng customer.
Ang ilang mga panahon ng pagpapanatili ay itinatakda ng mga partikular na batas, habang ang iba ay hinihiling sa iyo na gumawa ng mga makatwirang desisyon batay sa mga pangangailangan ng iyong negosyo.
Ipinapaliwanag ng gabay na ito ang legal na balangkas na namamahala sa pagpapanatili ng datos sa Netherlands at ipinapakita sa iyo kung paano matukoy ang naaangkop na mga iskedyul ng pagpapanatili para sa iyong organisasyon.
Matututunan mo ang tungkol sa mga kinakailangan ng batas para sa iba't ibang uri ng data, kung paano maayos na pamahalaan ang pagbura ng data, at kung anong mga karapatan ang mayroon ang iyong mga customer patungkol sa kanilang impormasyon.
Mga Pangunahing Prinsipyo ng Pagpapanatili ng Datos sa ilalim ng Batas ng Olandes
Olandes batas hinihiling sa iyo na sundin ang tatlong pangunahing prinsipyo kapag pinapanatili ang datos ng customer: dapat mo lamang itago ang datos para sa orihinal nitong layunin, kolektahin ang minimum na halagang kinakailangan, at malinaw na idokumento ang iyong mga desisyon sa pagpapanatili.
Limitasyon sa Layunin sa Pagproseso ng Personal na Datos
Maaari mo lamang panatilihin ang personal na datos para sa partikular na layunin kung para saan mo ito kinolekta. Kung nakalap mo impormasyon ng customer Para maproseso ang isang order, hindi mo maaaring itago ang datos na iyon nang walang katiyakan para sa marketing maliban kung nakakuha ka ng hiwalay na pahintulot para sa layuning iyon.
Hinihiling sa iyo ng GDPR na tukuyin ang malinaw na mga layunin bago mangolekta ng anumang datos. Kapag natapos na ang layuning iyon, ang iyong ligal na batayan matatapos din ang para sa pagpapanatili.
Halimbawa, kapag nakumpleto mo na ang isang transaksyon sa customer at ang pagpapanatili ayon sa batas matapos ang panahong iyon, dapat mong burahin ang kanilang data maliban na lang kung may iba pang lehitimong layunin.
Hindi mo maaaring gamitin muli ang lumang datos nang walang wastong legal na batayan. Kung magbago ang mga kalagayan ng iyong negosyo at gusto mong gamitin ang umiiral na datos ng customer para sa isang bagong layunin, kailangan mong suriin kung naaayon ito sa orihinal na layunin ng pangongolekta o humingi ng panibagong pahintulot.
Pagliit ng Datos at Pangangailangan
Dapat mo lamang kolektahin at panatilihin ang pinakamababang personal na datos na kailangan upang makamit ang iyong layunin. Nangangahulugan ito na hindi mo maaaring panatilihin ang impormasyon ng customer "kung sakaling" maaaring magamit ito sa ibang pagkakataon.
Hinihiling ng batas sa buwis sa Netherlands na panatilihin mo ang mga rekord sa pananalapi sa loob ng pitong taon. Gayunpaman, hindi ito nangangahulugan na maaari mong panatilihin ang lahat ng detalye ng customer sa loob ng pitong taon.
Kailangan mong ihiwalay ang mga bagay na dapat mong itago ayon sa batas mula sa mga bagay na iyong kinolekta para sa ibang mga layunin.
Inaasahan ng Dutch Data Protection Authority na regular mong susuriin ang nakaimbak na datos. Tanungin ang iyong sarili: kailangan mo pa rin ba ang impormasyong ito? Maaari mo ba itong gawing anonymous sa halip na panatilihin ito sa isang makikilalang anyo?
Kung ang sagot ay hindi, dapat mong burahin o gawing anonymous ang data.
Transparency and Accountability
Dapat mong idokumento ang iyong mga panahon ng pagpapanatili at ipaliwanag kung bakit mo sila pinili. Maaaring humiling ang Dutch Data Protection Authority ng impormasyong ito at susuriin kung makatwiran ang iyong mga desisyon.
Dapat malinaw na sabihin ng iyong pahayag sa privacy sa mga customer kung gaano katagal mo itatago ang kanilang data. May karapatan ang mga tao na humiling ng pagbura kapag natapos na ang panahon ng pagpapanatili o kapag hindi mo na kailangan ang kanilang impormasyon.
Dapat mong itala ang iyong mga panahon ng pagpapanatili sa iyong patakaran sa privacy nang may malinaw na mga katwiran. Pinoprotektahan ka nito sa panahon ng mga pag-audit at tinutulungan ang mga customer na maunawaan ang iyong mga kasanayan sa datos.
Kung naniniwala ang mga customer na masyadong matagal mong itinatago ang kanilang data, maaari silang maghain ng reklamo sa Dutch Data Protection Authority.
Balangkas na Legal na Namamahala sa mga Panahon ng Pagpapanatili
Pinagsasama ng legal na balangkas para sa pagpapanatili ng datos sa Netherlands ang batas ng Europa at pambansang batas, kung saan ang GDPR ang nagtatakda ng pundasyon at ang mga batas ng Netherlands ay nagdaragdag ng mga partikular na kinakailangan.
Ang Autoriteit Persoonsgegevens ay nangangasiwa sa pagsunod habang ang mga negosyo ay dapat balansehin ang mga obligasyon ayon sa batas laban sa proteksyon ng data prinsipyo.
GDPR at Batas sa Pagpapatupad ng Olandes
Ang Pangkalahatang Regulasyon sa Proteksyon ng Datos (GDPR) ang bumubuo sa pangunahing legal na batayan para sa pagpapanatili ng datos sa Netherlands. Hindi nito tinukoy ang mga tiyak na panahon ng pagpapanatili para sa datos ng customer.
Sa halip, itinatatag nito ang prinsipyo na hindi mo maaaring panatilihin ang personal na data nang mas matagal kaysa sa kinakailangan para sa mga layunin kung bakit mo ito pinoproseso.
Ipinapatupad ng Dutch Data Protection Act (DGIA) ang GDPR sa pambansang antas. Ang batas na ito ay nakikipagtulungan sa GDPR upang pamahalaan kung paano mo pinangangasiwaan ang personal na data.
Kamakailan ay inamyendahan ng Collective Act Data Protection (Verzamelwet Gegevensbescherming) ang DGIA at mga kaugnay na batas sa proteksyon ng datos upang matiyak ang pagkakatugma nito sa kasalukuyang mga pamantayan sa privacy.
Iyong patakaran sa privacy dapat idokumento ang iyong mga panahon ng pagpapanatili at bigyang-katwiran kung bakit mo pinili ang mga ito. Dapat mo ring ipaalam paksa data sa iyong pahayag sa privacy tungkol sa kung gaano katagal mo itatago ang kanilang data.
Papel ng Dutch Data Protection Authority
Ang Autoriteit Persoonsgegevens (AP) ay ang awtoridad sa proteksyon ng datos ng Netherlands na nagpapatupad ng mga kinakailangan sa pagpapanatili ng datos. Sinusuri ng AP kung ang iyong mga panahon ng pagpapanatili ay makatwiran at kinakailangan para sa iyong mga layunin sa pagproseso.
Kapag iniimbestigahan ng AP ang iyong mga kasanayan sa data, dapat kang magbigay ng dokumentasyon na nagpapatunay sa iyong mga panahon ng pagpapanatili. Sinusuri ng awtoridad kung itinatago mo ang personal na data sa pinakamaikling posibleng panahon batay sa iyong mga lehitimong pangangailangan.
Maaaring maghain ng mga reklamo ang mga indibidwal sa AP kung hindi mo mabubura ang kanilang data pagkatapos ng panahon ng pagpapanatili. May kapangyarihan ang AP na imbestigahan ang mga reklamong ito at magsagawa ng aksyong pagpapatupad kung nilabag mo ang mga batas sa proteksyon ng data.
Mga Obligasyon sa Pagpapanatili na Nakabatay sa Batas Laban sa Sariling Pagpapasya
Pinag-iiba ng batas ng Netherlands ang mga mandatoryong panahon ng pagpapanatili ayon sa batas at ang mga panahon ng pagpapanatili na ikaw mismo ang magtatakda. Pinapanindigan ng mga itinakdang panahon ng pagpapanatili ang mga prinsipyo ng GDPR kapag ang partikular na batas ay nangangailangan ng mas mahabang imbakan.
Mga tala ng pananalapi dapat panatilihin sa loob ng pitong taon sa ilalim ng batas sa buwis ng Netherlands. Nalalapat ang kinakailangang ito anuman ang mga prinsipyo ng pagliit ng GDPR.
Ang datos ng empleyado ay may iba't ibang mandatoryong panahon ng pagpapanatili depende sa uri ng impormasyon at layunin nito.
Para sa datos ng customer na walang mga kinakailangan ayon sa batas, ikaw ang magpapasya ng mga naaangkop na panahon ng pagpapanatili batay sa iyong mga layunin sa pagproseso. Dapat mong isaalang-alang kung gaano katagal mo kakailanganin ang datos para sa pagsubaybay sa mga natitirang invoice, pagtupad sa mga kontrata, o iba pang lehitimong pangangailangan sa negosyo.
Ang mga organisasyon ng sektor ay maaaring magbigay ng gabay sa pamamagitan ng mga kodigo ng pag-uugali na nagbabalangkas sa mga karaniwang panahon ng pagpapanatili ng serbisyo sa inyong industriya.
Pagtukoy sa mga Naaangkop na Iskedyul ng Pagpapanatili
Ang pagtatakda ng mga panahon ng pagpapanatili ay nangangailangan ng maingat na pagtatasa ng mga legal na obligasyon, mga pangangailangan sa operasyon, at mga kinakailangan ng GDPR. Dapat mong balansehin ang pagpapanatili ng data nang sapat na katagalan upang matugunan ang mga layunin ng iyong negosyo habang hindi ito itinatago nang mas matagal kaysa sa kinakailangan.
Pagtatasa ng Legal na Layunin at Tagal
Kailangan mong iugnay ang bawat panahon ng pagpapanatili nang direkta sa layunin kung bakit mo kinolekta ang datos. Ang prinsipyo ng limitasyon sa layunin ng GDPR ay nangangahulugan na hindi mo maaaring basta-basta itago ang datos ng customer nang walang hanggan.
Tanungin ang iyong sarili kung gaano katagal mo talaga kailangan ang impormasyon upang matupad ang orihinal na layunin.
Karaniwang nangangailangan ng pitong taon ng pagpapanatili ang mga rekord sa pananalapi sa ilalim ng batas sa buwis ng Netherlands. Gayunpaman, ang mga detalye sa pakikipag-ugnayan sa customer na ginagamit lamang para sa marketing ay maaaring kailanganin lamang sa loob ng isa o dalawang taon.
Dapat mong suriin nang hiwalay ang bawat kategorya ng datos.
Isaalang-alang kung ang mga legal na proseso ay maaaring mangailangan ng mas mahabang pagpapanatili. Kung may nagpapatuloy na hindi pagkakaunawaan sa customer, maaaring kailanganin mong itago ang mga kaugnay na datos hanggang sa malutas ang bagay na ito.
Gayunpaman, kapag natapos na ang layunin, dapat mong burahin o gawing anonymous ang impormasyon.
Kung minsan, naglalathala ang mga organisasyon ng sektor ng mga inirerekomendang iskedyul ng pagpapanatili ng mga empleyado para sa mga partikular na industriya. Ang mga alituntuning ito ay makakatulong sa iyo na matukoy kung ano ang itinuturing ng ibang mga kumpanya sa iyong larangan na makatwiran.
Tinatasa ng Dutch Data Protection Authority kung ang iyong mga napiling panahon ay proporsyonal sa iyong nakasaad na mga layunin.
Pagdodokumento ng Pagpapanatili sa mga Patakaran
Dapat mong itala ang iyong mga panahon ng pagpapanatili at ipaliwanag kung bakit mo pinili ang mga ito. Pinoprotektahan ka ng dokumentasyong ito kung sakaling kuwestiyunin ng Dutch Data Protection Authority ang iyong mga kasanayan.
Magsama ng mga partikular na timeframe para sa bawat uri ng data ng customer na iyong pinoproseso.
Dapat ilista ng iyong mga panloob na patakaran sa pagpapanatili ng data ang bawat kategorya ng data kasama ang kaukulang panahon ng pagpapanatili nito. Halimbawa:
| Uri ng datos | Panahon ng Pagpapanatili | Batayan na Ligal |
|---|---|---|
| Mga talaan ng invoice | 7 taon | Batas sa buwis |
| Mga detalye ng contact ng customer | 2 taon pagkatapos ng huling pagbili | Mga lehitimong interes |
| Mga talaan ng pahintulot sa marketing | Tagal ng pahintulot + 1 taon | Patakaran sa ligal |
Dapat ipaalam sa mga data subject ng iyong pahayag sa privacy kung gaano katagal mo itatago ang kanilang impormasyon. Gumamit ng malinaw na pananalita na mauunawaan ng mga customer.
Ang mga malabong parirala tulad ng "hangga't kinakailangan" ay hindi nakakatugon sa mga kinakailangan ng transparency ng GDPR.
Pagbabalanse ng mga Pangangailangan sa Operasyon, Legal, at Negosyo
Nahaharap ka sa mga magkakasalungat na pangangailangan kapag nagtatakda ng mga iskedyul ng pagpapanatili. Ang kahusayan sa operasyon ay maaaring magmungkahi ng permanenteng pagpapanatili ng lahat ng data para sa madaling pag-access.
Gayunpaman, hinihingi ng GDPR ang pinakamaikling posibleng panahon ng pagpapanatili.
Ang mga legal na obligasyon ay lumilikha ng pinakamababang panahon ng pagpapanatili na hindi mo maaaring balewalain. Ang mga talaan ng buwis ay dapat manatili sa loob ng pitong taon anuman ang iyong mga kagustuhan.
May mga partikular na tuntunin ang datos na may kaugnayan sa trabaho, kung saan karamihan sa impormasyon ng tauhan ay limitado sa dalawang taon pagkatapos ng pagtatapos ng trabaho.
Ang mga pangangailangan sa negosyo ay maaaring magbigay-katwiran sa pagpapanatili ng mga bagay na higit pa sa agarang layunin. Maaari mong panatilihin ang kasaysayan ng pagbili upang mapangasiwaan ang mga pagbabalik o mga paghahabol sa warranty.
Ang mga natitirang invoice ay nangangailangan ng pagsubaybay, na nangangahulugang pagpapanatili ng kaugnay na datos ng customer hanggang sa matanggap ang bayad.
Maaaring humiling ang mga paksa ng datos na burahin kung hindi mo na kailangan ang kanilang impormasyon o kung natapos na ang mga itinakdang panahon.
Dapat mong regular na suriin ang nakaimbak na datos at burahin ang anumang lampas sa panahon ng pagpapanatili nito. Ang mga awtomatikong sistema ng pagbura ay nakakatulong na matiyak ang pagsunod nang walang manu-manong pangangasiwa.
Pangkalahatang-ideya ng mga Panahon ng Pagpapanatili ng Itinagubilin ayon sa Uri ng Datos
Ang batas ng Netherlands ay nagtatakda ng mga partikular na minimum na panahon ng pagpapanatili para sa iba't ibang uri ng datos ng negosyo. Ang mga batas sa buwis ay nangangailangan ng pitong taon para sa karamihan ng mga talaang pinansyal, habang ang datos sa trabaho at pangangalagang pangkalusugan ay sumusunod sa magkakahiwalay na balangkas ng batas na may kani-kanilang mga takdang panahon.
Mga Rekord sa Pananalapi at Buwis
Dapat mong itago ang karamihan sa mga talaan sa pananalapi sa loob ng pitong taon sa ilalim ng batas sa buwis ng Netherlands. Ang obligasyong ito sa pagpapanatili ay nalalapat sa mga talaan ng pagbili at pagbebenta, mga invoice, mga pahayag ng bangko, at mga taunang account.
Ang pitong taong panahon ay nagsisimula sa katapusan ng taon ng pananalapi kung saan nilikha ang rekord.
Ang iyong mga credit at debit account ay sakop din ng pitong-taong kinakailangan na ito. Kabilang dito ang mga ledger, journal, at mga sumusuportang dokumento na nagpapatunay sa iyong mga transaksyon sa negosyo.
Hindi mo maaaring burahin o sirain ang mga rekord na ito bago matapos ang panahon ng pagpapanatili, kahit na hindi mo na ang mga ito kailangan para sa pang-araw-araw na operasyon.
Ang mga rekord ng cash register at datos ng point-of-sale ay dapat itago sa loob ng parehong pitong taong panahon. Maaaring hilingin ng mga awtoridad sa buwis ang mga dokumentong ito sa panahon ng mga audit o imbestigasyon.
Kung hindi ka makapagpanatili ng wastong mga rekord, maaari kang maharap sa mga parusa o multa mula sa tanggapan ng buwis sa Netherlands.
Datos ng Yamang Pantao at Empleyado
Ang mga talaan ng suweldo ng empleyado ay dapat itago sa loob ng pitong taon pagkatapos ng pagtatapos ng trabaho. Kabilang dito ang mga payslip, mga form sa buwis, at mga kontribusyon sa pensiyon.
Kailangan mo ang mga dokumentong ito para sa mga layunin ng buwis at mga potensyal na hindi pagkakaunawaan tungkol sa mga sahod o benepisyo.
Ang mga tauhan ay may iba't ibang mga kinakailangan depende sa uri ng datos. Ang mga pangunahing rekord sa trabaho tulad ng mga kontrata at aplikasyon sa trabaho ay dapat itago sa loob ng dalawang taon pagkatapos umalis ang isang tao sa iyong kumpanya.
Mga sertipikong medikal at mga talaan ng bakasyon dahil sa pagkakasakit maaaring masira nang mas maaga, kadalasan pagkatapos ng dalawang taon.
Ang mga pagsusuri sa pagganap at mga talaan ng disiplina ay nangangailangan ng mas maiikling panahon ng pagpapanatili. Dapat mo lamang itong itago hangga't nananatili ang mga ito na may kaugnayan sa relasyon sa trabaho.
Kapag umalis na ang isang empleyado, karaniwan mong maaari itong burahin sa loob ng isa hanggang dalawang taon maliban na lang kung may nakabinbing mga legal na proseso.
Mga File ng Pangangalagang Pangkalusugan at Medikal
Ang mga medikal na rekord ay dapat itago nang hindi bababa sa 20 taon sa ilalim ng batas sa pangangalagang pangkalusugan ng Netherlands. Ang mahabang panahon ng pagpapanatili na ito ay nagpoprotekta sa parehong mga pasyente at mga tagapagbigay ng pangangalagang pangkalusugan kung may mga katanungan tungkol sa mga nakaraang paggamot.
Ang ilang mga rekord, tulad ng mga may kinalaman sa mga menor de edad, ay maaaring kailangang itago nang mas matagal pa.
Kasama sa mga file ng pasyente ang impormasyon sa diagnosis, mga plano sa paggamot, mga resulta ng pagsusuri, at mga sulat. Dapat mong itago ang mga ito nang ligtas at tiyaking tanging ang mga awtorisadong kawani lamang ang makaka-access sa mga ito.
Pagkatapos mag-expire ang panahon ng pagpapanatili, dapat mong sirain ang mga rekord sa paraang pumipigil sa hindi awtorisadong pag-access.
Ang mga botika ay sumusunod sa mga katulad na patakaran para sa mga talaan ng reseta. Dapat itong itago sa loob ng 15 taon upang masubaybayan ang kasaysayan ng gamot at maiwasan ang mga pagkakamali.
Ang mga claim sa insurance at mga talaan ng pagsingil na may kaugnayan sa pangangalagang pangkalusugan ay nangangailangan din ng mas mahabang panahon ng pagpapanatili.
Mga Dokumentong Pang-edukasyon at Legal
Dapat itago ng mga institusyong pang-edukasyon ang mga rekord ng mag-aaral para sa mga partikular na panahon batay sa uri ng dokumento. Ang mga diploma at sertipiko ng degree ay nasa ilalim ng Public Records Act at dapat permanenteng itago.
Pinapatunayan ng mga rekord na ito ang mga kwalipikasyon at pinapayagan ang mga dating estudyante na humiling ng mga duplikado.
Ang mga resulta at marka sa pagsusulit ay dapat itago nang hindi bababa sa dalawang taon pagkatapos makumpleto ng isang estudyante ang kanilang pag-aaral. Ang mga talaan ng pagpaparehistro at pagdalo sa kurso ay karaniwang nangangailangan ng mas maiikling panahon, mga isa hanggang dalawang taon pagkatapos ng pagtatapos ng taong akademiko.
Ang mga legal na dokumento tulad ng mga kontrata at kasunduan ay dapat itago sa buong tagal ng kontrata kasama ang pitong taon. Mga dokumento ng korte at mga sulat sa abogado dapat panatilihin habang may mga legal na proseso at nang hindi bababa sa 20 taon pagkatapos.
Ang mga notaryal deed ay nangangailangan ng permanenteng pagpapanatili dahil nagsisilbi itong opisyal na legal na patunay.
Pamamahala sa Pagtanggal at Pagsira ng Data
Kapag natapos na ang mga panahon ng pagpapanatili, dapat mong aktibong alisin ang personal na data mula sa iyong mga system. Ang batas ng Netherlands ay nangangailangan ng maingat na atensyon sa kung paano mo binubura ang data at wastong dokumentasyon ng iyong mga paraan ng pagkasira, habang isinasaalang-alang ang mga sitwasyon kung saan ang data ay dapat pangalagaan sa kabila ng mga natapos na panahon ng pagpapanatili.
Pagtukoy ng Datos na Handa nang Burahin
Kailangan mong regular na suriin ang iyong nakaimbak na datos ng customer upang matukoy kung aling impormasyon ang natapos na ang panahon ng pagpapanatili nito. Magtayo ng sistema na sumusubaybay kung kailan nakolekta ang iba't ibang kategorya ng datos at kung kailan naging karapat-dapat ang mga ito para sa pagbura.
Maaaring kasama rito ang mga talaan ng customer, mga sulat, mga detalye ng transaksyon, at mga kagustuhan sa marketing. Gumawa ng iskedyul para sa pagsusuri ng iyong mga database at mga sistema ng pag-file nang hindi bababa sa kada quarter.
Maraming organisasyon ang gumagamit ng mga automated na tool na nagfa-flag ng data na papalapit na sa petsa ng pagbura nito o nagpapadala ng mga alerto kapag natapos na ang mga panahon ng pagpapanatili. Dapat kang magpanatili ng malinaw na imbentaryo kung saan matatagpuan ang data ng customer sa iyong mga system, kabilang ang mga backup server at mga naka-archive na file.
Dapat maunawaan ng inyong mga pangkat sa pagproseso ng datos kung aling mga panahon ng pagpapanatili ang naaangkop sa iba't ibang uri ng datos. Ang mga talaang pinansyal ay nangangailangan ng pitong taon ng imbakan sa ilalim ng batas sa buwis ng Netherlands, ngunit ang datos ng pahintulot sa marketing ay maaaring kailanganin lamang panatilihin habang nananatiling aktibo ang ugnayan.
Idokumento ang iyong proseso ng pagsusuri upang mapatunayan ng Dutch Data Protection Authority ang iyong pagsunod.
Mga Ligtas at Sumusunod na Paraan ng Pagsira
Dapat mong sirain ang personal na data sa paraang magiging imposible ang pagbawi. Ang simpleng paglipat ng mga file sa recycle bin o pagtanggal ng mga entry sa database ay hindi nakakatugon sa mga legal na kinakailangan ng Dutch.
Para sa digital na datos, gumamit ng secure deletion software na nag-o-overwrite ng impormasyon nang maraming beses o pisikal na sumisira sa mga storage device. Ang mga rekord na papel na naglalaman ng datos ng customer ay nangangailangan ng paggupit gamit ang mga cross-cut o micro-cut shredder.
Huwag kailanman itapon ang impormasyon ng customer sa mga regular na basurahan. Para sa malalaking dami ng data, isaalang-alang ang paggamit ng mga serbisyo ng certified destruction na nagbibigay ng mga sertipiko ng pagkawasak.
Ang mga angkop na pamamaraan ng pagkasira ay kinabibilangan ng:
- Ligtas na software sa pagtanggal para sa mga digital na file
- Pisikal na pagkasira ng mga hard drive at storage media
- Paggupit gamit ang mga cross-cut para sa mga dokumentong papel
- Degaussing para sa mga magnetic storage device
- Mga serbisyo ng pagsira na sertipikado ng ikatlong partido na may dokumentasyon
Magtago ng mga talaan kung kailan at paano mo sinira ang datos. Maaaring hilingin sa iyo ng Dutch Data Protection Authority na patunayan na wastong binura mo ang impormasyon ng customer pagkatapos mag-expire ang mga panahon ng pagpapanatili.
Paghawak ng mga Eksepsiyon at Legal Holds
Minsan, hindi mo maaaring burahin ang data kahit na matapos ang mga panahon ng pagpapanatili. Ang mga legal na paglilitis, aktibong imbestigasyon, o nakabinbing mga hindi pagkakaunawaan ay nangangailangan sa iyo na pangalagaan ang mga kaugnay na data ng customer hanggang sa matapos ang usapin.
Dapat mong ipatupad ang a proseso ng legal na paghawak na nagsususpinde sa mga normal na iskedyul ng pagbura para sa apektadong data. Idokumento ang bawat legal hold na may mga partikular na detalye tungkol sa kung aling data ang hindi maaaring burahin at bakit.
Abisuhan kaagad ang iyong mga pangkat sa pagproseso ng datos kapag nagsimula ang isang hold upang hindi nila aksidenteng masira ang kinakailangang impormasyon. Regular na suriin ang mga aktibong hold at agad na alisin ang mga ito kapag natapos na ang legal na batayan.
Ihihinto rin ang mga reklamo ng customer o mga katanungan tungkol sa regulasyon mga kinakailangan sa pagtanggalKung may magsampa ng reklamo sa Dutch Data Protection Authority tungkol sa iyong organisasyon, dapat mong panatilihin ang kanilang datos hanggang sa malutas ng awtoridad ang bagay na ito.
Balansehin ang mga eksepsiyon na ito laban sa iyong mas malawak na mga patakaran sa pagpapanatili ng data habang pinapanatili ang malinaw na mga talaan kung bakit nananatili ang ilang partikular na data sa iyong mga system nang lampas sa mga normal na panahon.
Mga Karapatan ng mga Paksa ng Datos at Pagsunod sa Organisasyon
Ang mga indibidwal na ang datos na iyong pinoproseso ay may mga partikular na karapatan sa ilalim ng GDPR, at dapat mong tumugon sa kanilang mga kahilingan sa loob ng itinakdang mga takdang panahon. Dapat ding magpanatili ang iyong organisasyon ng wastong dokumentasyon at sundin ang mga kinakailangan sa pangangasiwa na itinakda ng Autoriteit Persoonsgegevens.
Karapatan sa Pagbura at mga Kahilingan sa Paksa ng Datos
Maaaring humiling ang mga data subject ng pag-alis ng kanilang personal na data kapag natapos na ang panahon ng pagpapanatili o kapag hindi mo na kailangan ang impormasyon para sa orihinal nitong layunin. Dapat kang tumugon sa mga kahilingang ito para sa pagbura sa loob ng isang buwan mula sa pagtanggap ng mga ito.
Kung tatanggihan mo ang kahilingan, kailangan mong ipaliwanag ang iyong dahilan sa data subject. Maaari ring maghain ng mga reklamo ang mga tao sa Dutch Data Protection Authority kung hindi mo mabubura ang kanilang data kung kinakailangan.
May karapatang tumutol ang data subject kung naniniwala silang masyadong matagal mong itinatago ang kanilang impormasyon. Hindi mo maaaring balewalain ang mga kahilingang ito dahil lamang sa hindi ito maginhawang iproseso.
Dapat mayroong malinaw na proseso ang inyong organisasyon para sa paghawak ng mga kahilingan ng mga paksa ng datos. Kabilang dito ang pag-verify ng pagkakakilanlan ng taong humihiling at pagsuri kung mayroon pa ring nalalapat na mga panahon ng pagpapanatili ayon sa batas.
Dapat mong idokumento ang lahat ng kahilingan at ang iyong mga tugon upang maipakita ang pagsunod sa GDPR.
Pagtiyak ng Pagsunod sa GDPR sa Pamamagitan ng Mga Kasanayan sa Pagpapanatili
Kailangan mong itala ang iyong mga panahon ng pagpapanatili at ipaliwanag kung bakit ka pumili ng mga partikular na yugto ng panahon. Isama ang impormasyong ito sa iyong patakaran sa privacy upang maipakita mo sa Awtoridad ng mga Tao ang iyong pangangatwiran kung magtatanong sila.
Susuriin ng awtoridad kung ang iyong mga panahon ng pagpapanatili ay makatwiran at maikli hangga't maaari. Dapat malinaw na nakasaad sa iyong pahayag sa privacy kung gaano katagal mo itinatago ang iba't ibang uri ng personal na data.
Ang transparency na ito ay nakakatulong sa mga data subject na maunawaan ang iyong mga kasanayan. Dapat mo ring regular na suriin ang iyong nakaimbak na personal na data upang matukoy ang impormasyong lumampas na sa panahon ng pagpapanatili nito.
Kapag natapos na ang panahon ng pagpapanatili, dapat mong ligtas na sirain ang data o gawin itong anonymous nang tuluyan. Para sa sensitibong impormasyon tulad ng medikal na data, kailangan mong gumamit ng mga ligtas na paraan ng pagkasira.
Maaaring awtomatikong magbura ang mga digital system ng data sa mga paunang natukoy na oras upang makatulong na mapanatili ang pagsunod sa mga regulasyon.
Pag-uulat at Pangangasiwa ng mga Awtoridad
Sinusubaybayan ng Autoriteit Persoonsgegevens kung sinusunod ng mga organisasyon ang mga kinakailangan ng GDPR para sa pagpapanatili ng datos. Maaari nilang imbestigahan ang iyong mga kasanayan at humiling ng dokumentasyon ng iyong mga panahon ng pagpapanatili at mga pamamaraan sa pagtanggal.
Dapat kang makipagtulungan sa kanilang mga katanungan at ibigay ang impormasyong hinihingi nila. Kung makaranas ka ng paglabag sa datos na kinasasangkutan ng personal na datos, dapat mo itong iulat sa Dutch Data Protection Authority sa loob ng 72 oras.
Kailangan mo ring ipaalam nang direkta sa mga apektadong data subject kung ang paglabag ay nagdudulot ng mataas na panganib sa kanilang mga karapatan at kalayaan. Kabilang dito ang mga panganib ng diskriminasyon, pandaraya, pinsala sa pananalapi, o pinsala sa reputasyon.
Ang organisasyon ng iyong sektor ay maaaring magbigay ng gabay sa mga karaniwang panahon ng pagpapanatili para sa iyong industriya. Ang pagsunod sa mga kinikilalang pamantayan ng industriya ay maaaring makatulong sa iyong mga pagsisikap sa pagsunod.
Gayunpaman, nananatili kang responsable sa pagtukoy ng mga naaangkop na panahon ng pagpapanatili batay sa iyong mga partikular na pangyayari at mga legal na obligasyon.
Mga Madalas Itanong
Kinakailangan ng batas ng Netherlands na balansehin ng mga negosyo ang mga mandatoryong panahon ng pagpapanatili para sa mga talaan ng negosyo na may pinakamataas na limitasyon sa pagpapanatili para sa personal na datos sa ilalim ng GDPR. Ang mga talaang pinansyal ay karaniwang dapat itago sa loob ng pitong taon, habang ang personal na datos ay dapat lamang panatilihin hangga't kinakailangan para sa nilalayon nitong layunin.
Ano ang mga legal na kinakailangan para sa pag-iimbak ng datos ng customer sa Netherlands?
Dapat kang sumunod sa parehong mga kinakailangan sa talaan ng negosyo ng Dutch at mga regulasyon ng GDPR kapag nag-iimbak ng data ng customer. Ang mga talaan ng negosyo na naglalaman ng impormasyong pinansyal ay nangangailangan ng pitong taong panahon ng pagpapanatili sa ilalim ng batas sa buwis.
Ang mga rekord na may kaugnayan sa ari-arian ay dapat itago nang hindi bababa sa sampung taon. Sa ilalim ng GDPR, kailangan mo ng legal na batayan para sa pagproseso ng personal na datos.
Dapat mo lamang itago ang datos ng customer hangga't kinakailangan para sa layunin ng iyong pagkolekta nito. Inaasahan ng Dutch Data Protection Authority na magtatakda ka ng mga naaangkop na panahon ng pagpapanatili batay sa iyong partikular na sitwasyon at mga pangangailangan sa negosyo.
Kinakailangan mong idokumento ang iyong mga panahon ng pagpapanatili at ipaliwanag kung bakit mo pinili ang mga ito. Dapat lumabas ang impormasyong ito sa iyong patakaran sa privacy at pahayag ng privacy upang maunawaan ng mga customer kung gaano katagal mo itinatago ang kanilang data.
Gaano katagal pinapayagan ang isang negosyo na magtago ng personal na data sa ilalim ng mga regulasyon sa privacy ng Dutch?
Hindi nagtatakda ang GDPR ng tiyak na pinakamataas na panahon ng pagpapanatili para sa personal na datos. Ikaw ang magpapasya ng naaangkop na panahon ng pagpapanatili batay sa layunin ng iyong negosyo at mga legal na obligasyon.
Gayunpaman, hindi mo maaaring itago ang personal na datos nang mas matagal kaysa sa kinakailangan. Dapat mong isaalang-alang ang ilang mga salik kapag tinutukoy ang mga panahon ng pagpapanatili.
Suriin kung may mga itinakdang panahon ng pagpapanatili na nalalapat, tulad ng mga hinihiling ng mga batas sa buwis. Suriin kung gaano katagal mo talaga kailangan ang datos para sa iyong mga operasyon sa negosyo.
Dapat mong laging hangarin ang pinakamaikling posibleng panahon ng pagpapanatili. Kung hihilingin ng mga customer na burahin ang kanilang data at natapos na ang iyong panahon ng pagpapanatili, dapat mong alisin ang kanilang impormasyon.
Ang tanging eksepsiyon ay kapag mayroon kang legal na obligasyon na panatilihin ang data sa loob ng isang partikular na panahon.
Maaari mo bang ibuod ang mga obligasyon sa pagpapanatili ng datos para sa mga kompanyang Dutch na humahawak ng impormasyon ng kliyente?
Dapat mong panatilihin ang mga rekord ng negosyo nang hindi bababa sa pitong taon sa ilalim ng batas sa buwis ng Netherlands. Kabilang dito ang mga dokumentong pinansyal at mga rekord na may kaugnayan sa mga transaksyon sa negosyo.
Kung ikaw ang humahawak ng datos na may kaugnayan sa ari-arian, kailangan mong itago ang mga rekord na iyon sa loob ng sampung taon. Para sa personal na datos sa ilalim ng GDPR, hindi ka dapat mag-imbak ng impormasyon nang mas matagal kaysa sa kinakailangan.
Ikaw ang magpapasya kung ano ang kinakailangan batay sa layunin ng iyong negosyo at mga legal na kinakailangan. Kailangan mong idokumento ang iyong mga panahon ng pagpapanatili at isama ang mga ito sa iyong patakaran sa privacy.
Obligado kang regular na suriin ang nakaimbak na datos at burahin ito kapag natapos na ang mga panahon ng pagpapanatili. Dapat mo ring ipaalam sa mga customer ang tungkol sa iyong mga panahon ng pagpapanatili sa pamamagitan ng iyong pahayag sa privacy.
Ano ang pinakamataas na tagal kung kailan maaaring legal na iimbak ang datos ng mamimili sa Netherlands?
Walang takdang pinakamataas na tagal sa ilalim ng GDPR para sa pag-iimbak ng datos ng mamimili. Ang panahon ng pagpapanatili ay nakadepende sa layunin kung bakit mo kinolekta ang datos at anumang naaangkop na obligasyon ayon sa batas.
Dapat mong gamitin ang pinakamaikling posibleng panahon ng pagpapanatili na nakakatugon pa rin sa iyong mga lehitimong pangangailangan sa negosyo. Kung hinihiling ng batas sa buwis ang pitong taong pagpapanatili para sa mga talaang pinansyal, maaari mong itago ang datos na iyon sa loob ng pitong taon.
Kapag natapos na ang panahong ito, dapat mong burahin ang data maliban kung may ibang legal na batayan. Para sa mga layunin sa marketing o iba pang hindi sapilitan na paggamit, dapat kang magtakda ng mas maiikling panahon ng pagpapanatili batay sa kung kailan hindi na kailangan ang data.
Hindi mo maaaring bigyang-katwiran ang pagtatago ng datos dahil lamang sa maaaring kailanganin mo ito sa hinaharap. Ang layunin ay dapat na napapanahon at tiyak.
Ano ang mga kahihinatnan ng hindi pagsunod sa mga limitasyon sa pagpapanatili ng datos sa Netherlands?
Maaaring imbestigahan ng Dutch Data Protection Authority ang iyong organisasyon kung hindi ka susunod sa mga limitasyon sa pagpapanatili. Kung makita ng Awtoridad na hindi makatwiran o masyadong mahaba ang mga panahon ng pagpapanatili mo, maaari kang maharap sa aksyong pagpapatupad.
Kabilang dito ang mga multa at mga utos na burahin ang datos. Maaaring maghain ng mga reklamo ang mga customer sa Awtoridad kung tatanggi kang burahin ang kanilang datos pagkatapos mag-expire ang panahon ng pagpapanatili.
May karapatan silang humiling ng pag-alis ng kanilang personal na datos kapag hindi mo na ito kailangan. Kung tatanggihan mo ang mga naturang kahilingan nang walang wastong batayan, nanganganib kang mga parusa sa regulasyon.
Ang hindi pagsunod ay maaari ring makasira sa iyong reputasyon at makasira tiwala sa customerMaaari kang maharap sa mga sibil na paghahabol mula sa mga indibidwal na nilabag mo ang mga karapatan sa datos.
Maaari mo bang ibalangkas ang proseso para sa legal na pagtatapon ng datos ng customer pagkatapos ng panahon ng pagpapanatili sa Netherlands?
Dapat mong regular na suriin ang personal na datos na hawak mo upang matukoy ang impormasyong natapos na ang panahon ng pagpapanatili nito.
Kapag hindi na kailangan ang data o natapos na ang retention period, kailangan mo itong sirain agad.
Maaari mo ring gawing anonymous ang data sa halip na sirain ito kung gusto mo itong itago para sa mga layuning pang-estadistika.
Dapat kang maging maingat sa pagsira ng personal na datos, lalo na sa mga sensitibong impormasyon tulad ng mga medikal na rekord.
Para sa digital na datos, maaari kang gumamit ng mga sistemang awtomatikong nagtatanggal ng impormasyon sa mga paunang natukoy na oras.
Ang mga pisikal na rekord ay nangangailangan ng mga ligtas na pamamaraan ng pagkasira na pumipigil sa hindi awtorisadong pag-access.
Dapat mong idokumento ang iyong mga proseso ng pagkasira ng data bilang bahagi ng iyong pangkalahatang pagsunod sa proteksyon ng data.
Ipinapakita nito sa Dutch Data Protection Authority na sineseryoso mo ang mga obligasyon sa pagpapanatili at aktibong pinamamahalaan mo ang... lifecycle ng data.
