Polityka retencji danych w NMI ERP Sp. z o.o.

1. Cel polityki

Celem tej polityki jest zapewnienie, że dane przetwarzane przez firmę są zarządzane w sposób zgodny z obowiązującymi przepisami prawa, najlepszymi praktykami ochrony danych oraz wymaganiami organizacyjnymi. Polityka ma na celu kontrolowanie procesu usuwania danych w sposób bezpieczny, zgodny z przepisami o ochronie danych osobowych, a także minimalizowanie ryzyka utraty, nieautoryzowanego dostępu lub nadużyć związanych z danymi.

2. Zakres polityki

Polityka dotyczy wszystkich danych przetwarzanych przez firmę, zarówno w formie elektronicznej, jak i papierowej. Obejmuje dane osobowe, dane wrażliwe, dane dotyczące klientów, pracowników, dostawców oraz inne dane przechowywane i przetwarzane w ramach działalności firmy.

3. Definicja danych

• Dane osobowe: wszelkie informacje dotyczące osoby fizycznej, które umożliwiają jej identyfikację, takie jak imię, nazwisko, adres, numer telefonu, adres e-mail, itp.
• Dane wrażliwe: dane, które obejmują szczególne kategorie danych osobowych, takie jak dane o zdrowiu, pochodzeniu rasowym, politycznych przekonaniach, dane biometryczne itp.
• Dane operacyjne: wszelkie dane związane z działalnością firmy, takie jak dane finansowe, transakcyjne, systemowe, logi itp.

4. Zasady zarządzania danymi

• Bezpieczeństwo danych: Wszystkie dane muszą być przechowywane i przetwarzane w sposób zapewniający ich bezpieczeństwo, zgodnie z najlepszymi praktykami, normami branżowymi oraz wymaganiami regulacyjnymi.
• Dostęp do danych: Dostęp do danych jest przyznawany wyłącznie pracownikom, którzy potrzebują ich do realizacji swoich obowiązków służbowych. Wszystkie operacje na danych muszą być monitorowane i rejestrowane.
• Ochrona danych osobowych: Przetwarzanie danych osobowych odbywa się zgodnie z przepisami o ochronie danych osobowych (w tym RODO), a wszelkie operacje na danych muszą zapewniać ochronę prywatności osób, których dane są przetwarzane.

5. Usuwanie danych

• Usuwanie danych osobowych: Dane osobowe, które nie są już potrzebne do celów, w których zostały zebrane, muszą być usuwane w sposób, który zapewnia ich trwałe wymazanie, uniemożliwiające ich odzyskanie. Usuwanie danych osobowych powinno być dokonane w terminie przewidzianym przez przepisy prawa lub wewnętrzne przepisy firmy.
• Usuwanie danych wrażliwych: Dane wrażliwe, które nie są już wymagane do dalszego przetwarzania, powinny być usuwane z zachowaniem szczególnej ostrożności i zgodnie z procedurami, które zapewniają ich całkowite wymazanie.
• Usuwanie danych operacyjnych: Dane operacyjne, które stały się nieaktualne, niepotrzebne lub zostały przekroczone okresy przechowywania, powinny być usunięte zgodnie z polityką przechowywania danych w firmie.

6. Procedura usuwania danych

Ocena potrzeby przechowywania: Przed usunięciem danych, należy ocenić, czy dane są wciąż niezbędne do celów ich przechowywania lub czy obowiązują przepisy prawa nakładające obowiązek przechowywania danych przez określony czas.

Metody usuwania danych:

• Dane elektroniczne: Należy je usunąć za pomocą odpowiednich narzędzi, które zapewniają całkowite wymazanie danych z dysków twardych, serwerów, nośników pamięci i innych urządzeń przechowujących dane.
• Dane papierowe: Dokumenty papierowe, które zawierają dane wrażliwe lub osobowe, powinny być niszczone za pomocą niszczarki o odpowiedniej klasie zabezpieczeń.

Potwierdzenie usunięcia: Po usunięciu danych, pracownik odpowiedzialny za proces usuwania powinien potwierdzić, że dane zostały bezpiecznie usunięte i nie są już dostępne.

7. Czas przechowywania danych

Dane powinny być przechowywane przez okres niezbędny do realizacji celów, w których zostały zebrane. Okres przechowywania danych zależy od:

• Wymagań prawnych,
• Potrzeb operacyjnych firmy,
• Zasad przechowywania i archiwizacji danych w firmie.

Po upływie określonego okresu, dane muszą zostać usunięte lub zanonimizowane.

8. Audyt i monitoring

Procesy zarządzania i usuwania danych muszą być regularnie monitorowane i audytowane przez odpowiednie służby IT lub specjalistów ds. bezpieczeństwa danych. Audyty te mają na celu:

• Sprawdzenie zgodności z przepisami prawa i polityką firmy,
• Identyfikację ewentualnych zagrożeń i nieprawidłowości,
• Zapewnienie, że dane są przechowywane i usuwane zgodnie z ustalonymi procedurami.

9. Szkolenia i świadomość pracowników

Wszyscy pracownicy firmy będą regularnie szkoleni w zakresie polityki zarządzania i usuwania danych, w tym w zakresie przetwarzania danych osobowych, ochrony prywatności oraz metod usuwania danych. Szkolenia mają na celu podniesienie świadomości i odpowiedzialności za bezpieczeństwo danych.

10. Weryfikacja i aktualizacja polityki

Polityka zarządzania i usuwania danych będzie regularnie przeglądana i aktualizowana, aby dostosować ją do zmieniających się przepisów prawnych, technologii oraz potrzeb organizacyjnych. Przeglądy polityki będą przeprowadzane co najmniej raz w roku lub w przypadku istotnych zmian w przepisach prawa dotyczących ochrony danych.

11. Odpowiedzialność

Za realizację polityki odpowiedzialny jest zespół Bezpieczeństwa IT, administratorzy danych oraz kierownicy działów odpowiedzialnych za przetwarzanie danych. Każdy pracownik firmy jest zobowiązany do przestrzegania zasad polityki zarządzania i usuwania danych oraz do zgłaszania wszelkich nieprawidłowości w tym zakresie.