删除框架开发路线图

fabiha01

数据删除框架是指一套结构化的准则和程序，用于规范组织根据数据保护和法定法律履行删除义务，以及管理和执行个人数据删除的流程。

本质上，数据删除框架需要对个人数据进行系统分类以及相应的保留期限。它应该代表一个清晰而全面的战略，概述组织如何根据《通用数据保护条例》（GDPR）以及国家法律的规定识别、分类和删除个人数据。数据删除框架并非一份详尽的文档，而是对各个部门处理个人数据的所有处理活动的总体概述，并作为删除例程的实际实施，这些例程是根据特定组织的具体要求和情况而专门开发的，同时考虑到组织固有的预先存在的程序、系统和流程。

在制定数据删除框架的过程中，必须充分考虑以下步骤：

1. 了解法律义务
在制定数据删除策略时，首先必须根据删除框架的范围认真考虑国家和欧洲/国际法律框架。

GDPR 没有提供固定的保留期限，但它规定，根据存储限制原则 (GDPR 第 5 条第 1 款 e 项)，当个人数据对于最初收集的目的不再必要时，应删除该数据。此外，根据第 5 条第1 升根据 GDPR 第 d 条，如果发现个人数据不准确且无法纠正，则必须删除。更重要的是，删除的概念已被载入《条例》。 GDPR 第 17 条。当没有合法的处理依据、数据主体撤回处理的同意、数据主体对处理提出异议或个人数据被非法处理时，有必要删除。这些删除标准的例外情况在第 17 条第 1 款中列出。 GDPR 第 3 条。根据本条规定，在个人数据对于履行法律义务至关重要的情况下，可以免除删除数据的义务，例如，涵盖规定的法定保留期限，或者当数据对于主张、行使或维护法律索赔必不可少等。

除了 GDPR 之外，国家立法也同样规定了有关数据删除的义务。对于某些数据类别，新西兰商业传真列表 例如税务相关数据和工资数据，具体的国家法律规定了精确的保留期限，例如第 147 款。 1 税法规定了德国税务文件的保留期限。在不存在此类法定规定的情况下，必须考虑潜在法律索赔的诉讼时效。例如，根据《一般平等待遇法》（AGG），未成功的求职者的申请文件将被保留一段指定的时间（例如，在德国为六个月），以使公司能够针对潜在的法律索赔进行辩护，特别是与申请过程中的歧视有关的索赔。

2. 识别数据源和存储系统
第二步需要识别存储个人数据的系统，包括内部文件夹、软件存储库和外部存储设备（如 USB 驱动器）。必须区分全球系统和本地系统，并将这种分离与即将推出的删除框架的预期范围相一致。

3. 数据类型的识别
第三步，全面识别组织各部门收集和处理的个人数据，包括电子和物理格式的数据。一旦辨别出每个部门收集的数据类型（例如简历、发票、工资单和会议记录），就可以将这些数据类型分组为更广泛的数据类别，例如人事数据、会计数据、发票数据。用于统一目的、存储在同一数据存储库中且具有相同保留期的数据可以形成数据类别。

4. 确定适用的保留期限
在确定所处理的个人数据后，严格确定适用法律规定的保留期限变得至关重要。该确定涉及评估个人数据对于收集的原始目的是否仍然必要，验证数据主体是否已撤销其同意，以及确定任何规定数据保留的法律义务。