Ce este Dreptul la ștergerea datelor în SaaS (Dreptul de a fi uitat)?

Q: Ce este Dreptul la ștergerea datelor în SaaS (Dreptul de a fi uitat)?

Dreptul la ștergere se referă la o cerință din reglementările GDPR (Articolul 17), care stipulează că operatorii de date trebuie să elimine informațiile personale ca răspuns la o solicitare autorizată din partea unei persoane fizice. Pentru furnizorii de Software-as-a-Service (SaaS), acest proces include identificarea și eliminarea datelor personale din baze de date și aplicații conectate care operează în cloud. Deoarece platformele SaaS acționează adesea ca „persoane împuternicite” sau „sub-împuternicite”, este important ca acestea să rămână aliniate cu standardele de conformitate în numele clienților lor. Gestionarea corespunzătoare a cererilor de ștergere este o parte așteptată a respectării reglementărilor și poate influența modul în care clienții și persoanele fizice percep practicile de gestionare a datelor, precum și modul în care este păstrată încrederea clienților. Caracteristici cheie ale dreptului la ștergere: Arie largă de aplicare: Acoperă toate formele de date personale, inclusiv nume, adrese IP și jurnale comportamentale. Aplicare condiționată: Dreptul se aplică dacă datele nu mai sunt necesare sau dacă utilizatorul își retrage consimțământul. Reacție în lanț: Furnizorii SaaS trebuie să notifice orice sub-împuterniciți terți (cum ar fi serviciile de găzduire) să șteargă și ei datele. Termen limită: Organizațiile au, de obicei, 30 de zile pentru a răspunde și a îndeplini o solicitare. Aplicații practice: Un fost abonat al unui instrument CRM solicită ștergerea profilului său după ce a trecut la un concurent. O platformă de automatizare a marketingului elimină e-mailul și istoricul de urmărire al unei persoane după ce aceasta își retrage consimțământul pentru prelucrarea datelor.

Q: Cum ștergeți datele păstrând în același timp înregistrările de facturare?

O provocare comună pentru afacerile SaaS este ștergerea datelor personale, păstrând în același timp înregistrările financiare în scopuri fiscale. Soluția este anonimizarea. Această metodă implică excluderea PII (nume, adrese de e-mail) din înregistrările de facturare și utilizarea unor token-uri neidentificabile sau a unor indicatori generici în locul acestora. Astfel, datele de afaceri și de tranzacții pot fi păstrate în sistem, în timp ce conținutul care indică în mod unic identități individuale este omis. Avantaje și dezavantaje ale anonimizării Pro: Înregistrările agregate fără identificatori individuali sunt utilizate pentru operațiuni standard. Pro: Intrările din înregistrări sunt păstrate, dar fără legături directe cu persoane identificabile. Contra: Procesul poate include sarcini de sistem în medii multi-client. Contra: Strategiile de gestionare a datelor depind de pașii documentați pentru eliminarea legăturilor către informațiile personale.

Autor: Ioana Grigorescu, Manager de conținut

Revizuit de: George Ploaie, Director Operațional Principal (COO)

Ce este Dreptul la Ștergere, Dreptul de a fi uitat

Ce este Dreptul la ștergerea datelor în SaaS (Dreptul de a fi uitat)?

Dreptul de a fi uitat se referă la o cerință a regulamentelor din cadrul GDPR (Articolul 17), care stipulează că operatorii de date trebuie să șteargă datele cu caracter personal ca răspuns la o cerere autorizată din partea unei persoane fizice. Pentru furnizorii de Software ca Serviciu (SaaS), acest proces include identificarea și ștergerea datelor cu caracter personal din bazele de date și aplicațiile conectate care operează în cloud.

Întrucât platformele SaaS acționează adesea ca “operatori de date” sau “sub-operatori”, este important ca acestea să rămână în conformitate cu standardele de reglementare în numele clienților lor. Gestionarea corespunzătoare a solicitărilor de ștergere este o parte așteptată a respectării reglementărilor și poate influența modul în care clienții și persoanele fizice percep practicile de prelucrare a datelor, precum și modul în care este păstrată încrederea clienților.

Caracteristici cheie ale dreptului la ștergere

Domeniu larg de aplicare: Acoperă toate formele de date personale, inclusiv nume, adrese IP și jurnale de comportament.
Aplicare condiționată: Dreptul se aplică dacă datele nu mai sunt necesare sau dacă utilizatorul își retrage consimțământul.
Reacție în lanț: Furnizorii SaaS trebuie să notifice orice sub-procesatori terți (precum serviciile de găzduire) să șteargă și ei datele.
Limită de timp: Organizațiile au, de obicei, 30 de zile pentru a răspunde și a îndeplini o solicitare.

Aplicații în Viața Reală

Un fost abonat al unui instrument CRM solicită ștergerea profilului său după ce a trecut la un concurent.
O platformă de automatizare a marketingului elimină istoricul de e-mail și de monitorizare al unei persoane după ce aceasta își retrage consimțământul pentru prelucrarea datelor.

Cum gestionați o solicitare privind dreptul la ștergerea datelor în calitate de companie SaaS?

Gestionarea eficientă a acestor solicitări necesită un flux de lucru standardizat. În primul rând, verificați identitatea solicitantului pentru a preveni manipularea neautorizată a datelor. Odată verificată, mapați datele utilizatorului în întregul dumneavoastră stack tehnologic, inclusiv bazele de date de producție și integrările cu terțe părți. În cele din urmă, confirmați ștergerea către utilizator în scris pentru a menține o pistă de audit clară.

Sfaturi profesionale

Configurați instrumente automate pentru a localiza și identifica PII (Informații de Identificare Personală) stocate în baze de date.
Un “Jurnal de ștergere” poate ajuta la urmărirea datelor și finalizărilor solicitărilor, dar este vital să se asigure că PII șterse nu sunt reținute în jurnale.
Stabiliți un canal de comunicare clar pentru ca utilizatorii să trimită solicitări de ștergere a datelor, cum ar fi un portal de confidențialitate sau o adresă de e-mail.

Când poate fi refuzată o solicitare? (Cele 5 excepții)

Dreptul la ștergere poate fi afectat de anumite condiții de reglementare și legale. Furnizorii SaaS analizează fiecare solicitare făcând referire la regulile de protecție a datelor și nevoile organizaționale. Conform GDPR, cinci categorii stabilesc când o cerere de ștergere poate fi refuzată în mod legal.

Tip de excepție	Descriere
Obligație legală	Datele trebuie păstrate pentru a îndeplini cerințele financiare sau pentru a respecta legislația fiscală.
Exercitarea libertății	Activitățile de prelucrare sunt necesare pentru dreptul la libertatea de exprimare și informare.
Interes Public	Datele pot fi solicitate dacă sunt legate de obiective precum sănătatea publică, siguranța sau cercetarea științifică.
Revendicări Legale	Datele pot fi stocate dacă sunt relevante pentru stabilirea, exercitarea sau apărarea intereselor legale.
Necesitate Contractuală	Anumite informații sunt în continuare necesare pentru a îndeplini obligațiile stipulate într-un acord existent cu utilizatorul.

Cum ștergeți datele păstrând în același timp înregistrările de facturare?

O provocare comună pentru companiile SaaS este ștergerea datelor personale, păstrând în același timp înregistrările financiare în scopuri fiscale. Soluția este Anonimizare. Această metodă implică excluderea datelor PII (nume, adrese de e-mail) din înregistrările de facturare și utilizarea de tokenuri non-identificatoare sau de substituenți generici în locul acestora. Ca urmare, afacerea și date de tranzacție pot fi reținute în sistem, în timp ce conținutul care indică în mod unic identitățile individuale este omis.

Avantaje și Dezavantaje ale Anonimizării

Pro: Înregistrările agregate, fără identificatori individuali, sunt utilizate pentru operațiuni standard.
Pro: Înregistrările sunt păstrate, dar fără legături directe cu persoane identificabile.
Dezavantaj: Procesul poate include sarcini de sistem în medii multi-client.
Dezavantaj: Strategiile de gestionare a datelor se bazează pe pași documentați pentru eliminarea legăturilor către informațiile personale.

Cum funcționează ștergerea în copiile de rezervă și arhive?

Eliminarea directă a datelor din bazele de date de producție live este, în general, simplă, dar backup-urile ridică unele complicații tehnice.

În backup-uri, cum ar fi cele de pe benzi comprimate sau stocarea cloud imutabilă, datele există ca parte a materialului de backup stocat și nu sunt gestionate la nivel de înregistrare individuală. Ștergerea înregistrărilor relevante se realizează de obicei în sistemele de producție.

Datorită ciclului de viață al backup-ului (de obicei la fiecare 30 sau 90 de zile) în care copiile de siguranță mai vechi sunt înlocuite, acele înregistrări nu sunt reproduse în seturile de backup ulterioare. Acest lucru este în concordanță cu procedurile standard de eliminare a datelor din sistemele de backup și de arhivare.

Concluzie

Dreptul la ștergerea datelor pentru SaaS este integrat atât în legislația privind protecția datelor, cât și în cerințele de conformitate. Atingerea unui echilibru între solicitările de ștergere și nevoile operaționale este vitală pentru a menține încrederea utilizatorilor într-o platformă. Companiile care au dezvoltat tehnici pentru ștergerea datelor pot gestiona în siguranță eliminarea datelor utilizând abordări documentate și procese de păstrare a înregistrărilor.

Ce este Dreptul la ștergerea datelor în SaaS (Dreptul de a fi uitat)?

Ce este Dreptul la ștergerea datelor în SaaS (Dreptul de a fi uitat)?

Cum gestionați o solicitare privind dreptul la ștergerea datelor în calitate de companie SaaS?

Când poate fi refuzată o solicitare? (Cele 5 excepții)

Cum ștergeți datele păstrând în același timp înregistrările de facturare?

Avantaje și Dezavantaje ale Anonimizării

Cum funcționează ștergerea în copiile de rezervă și arhive?

Concluzie

Sunteți gata să începeți?