保持合规性:GDPR将如何影响电子邮件保留?

2018年3月8日 通过 米奇·安德森

随着25 即将到来的5月,公司如何继续遵守即将颁布的GDPR法规还有很多事情要考虑。

有太多因素要考虑,但是电子邮件是一个经常被忽视的领域。 GDPR生效后,公司应如何存储和摆脱它?公司是否需要对现有的电子邮件保留政策进行任何更改?

实际上,除了GDPR中规定的监管义务外,公司实际上还有许多其他原因可以考虑更新其电子邮件保留政策,例如解决存储成本和整体系统性能。

在本文中,我们’会告诉您为什么要考虑更新您的电子邮件保留政策,此外我们’将向您展示一些在修订当前流程时绝对应考虑的方面。

GDPR将如何影响电子邮件保留?

在大多数情况下,引入GDPR时,处理和保留所有类型的数据(而不仅仅是电子邮件)不会有任何令人惊讶的变化。实际上,’大多数国家法律可能与GDPR要求的法律非常相似;最值得注意的是,信息应仅在必要的时间内存储,并且已采取措施在数据寿命到期时安全销毁数据。

以英国’例如,当前的《数据保护法》。它在原则5中规定“为任何目的而处理的个人数据的保存时间不得超过为此目的而保留的时间。”

它没有’没说确切保留数据的时间,但是它确实突出了公司在创建数据保留策略时应遵循的一些最佳做法,这些最佳做法应直接应用于电子邮件。其中包括评估将个人数据保留多长时间,为什么使用它们以及应如何处置。

借助GDPR,我们可以预期该准则将大体相同,但是,不合规的罚款将比目前在全国范围内的罚款高得多。尽管许多国家没有根据现有立法谴责迄今为止罚款最高的组织,但新的财务处罚应该对那些政策和做法过时的公司起到更大的威慑作用。

存档电子邮件并维护访问权限

任何电子邮件保留过程的关键部分之一就是数据一旦达到一定期限就如何归档。许多公司正在转向诸如Office 365之类的云存储选项,但是磁带存储在存档数据领域仍然是一个多产的参与者。

由于可用的选项多种多样,而且公司经常使用多种存储解决方案,因此对于Exchange管理员来说,查找和访问已存档的电子邮件最终将是一项艰巨的任务。

如果将电子邮件备份到较旧的磁带介质上,这将尤其具有挑战性。

与磁带介质相关的问题之一直接与其主要优势有关:其使用寿命。虽然非常适合长期存储档案数据,但在存储方面也带来了挑战 保持可访问性 在很长一段时间内。

在查看电子邮件保留策略时,公司应考虑存储数据的磁带类型以及使用的备份软件。它’组织经常遇到以下情况:软件报废,磁带机出现故障或磁带本身损坏,然后他们无法自行访问数据。

在审查用于电子邮件保留的数据存储时,它会’最好确保您’re 面向未来 您的解决方案。

公司还应该确切地知道他们拥有的每个磁带上的数据,如果将他们的磁带资产划分为多个磁带类型,备份软件包并且没有目录,这将是一个挑战。如果你’不知道您拥有什么数据,或者确切地位于何处,那么值得花费时间来解决这个问题,因此您’如果将来您需要查找,恢复或删除已归档的信息,则不会遇到无法克服的障碍。

您可能还会发现,一旦知道了磁带上的数据,您就可以真正安全地删除过时的数据,从而节省大量成本和存储空间。毕竟,企业数据存储解决方案是’t cheap!

永久删除电子邮件

我们最近发布了一个有关 为什么数据擦除对GDPR至关重要, 和我们’如果您愿意,d强烈建议您阅读’还不知道那里’为什么有很多原因’s important.

安全删除电子邮件数据的主要原因之一是防止数据泄露。公司可以在很短的时间内积累大量的电子邮件数据,尤其是在大型组织中,这有时可能成为黑客的主要攻击目标。更多数据等于更多风险,因此,使用安全擦除方法将有助于减轻归档和过时信息泄漏的风险。它还会为您的数据存储设备带来奇迹。释放可分配给其他地方的宝贵存储空间。

什么’更重要的是,通过GDPR,公司实际上将需要遵守‘被遗忘的权利’要求删除个人数据,如 第十七条 该法规。这将要求公司在数据达到使用寿命时或数据主体要求删除数据时,安全地擦除数据。如果您的组织没有’没有适当的认证方法,那么它’是时候开始在这里考虑您的选择并将其作为新保留策略的一部分进行实施了。

创建新的电子邮件保留策略

在创建新的电子邮件保留策略时,您应该花些时间考虑本文前面介绍的所有要点,但请不要忽略对您的业务最重要的内容。任何人都可以提出电子邮件保留政策;您的业​​务的真正价值将来自于创造出满足您要求并克服挑战的产品。

例如,在这里’只是从帖子中的要点得出的简短摘要:

  • 将活动收件箱中的电子邮件限制为一定的较短时间范围。对邮箱大小采用新的限制。
  • 存档早于该期限的电子邮件。但是,请确保它们仍然易于搜索和访问。定义认为该归档数据已过时的上限。
  • 使用以下命令安全清除超过此上限的所有电子邮件 经过认证的可审计工具 这样您就可以证明该过程已经发生。
  • 让用户了解这些策略,并确保他们完全了解它。
  • 持续查看您的策略并测试对存档数据的访问。

这里要记住的另一点是不应该’确实需要像GDPR这样的东西成为新电子邮件保留政策的前提–您的公司应该经常对其进行检查,以确保它不仅在法规方面,而且在技术,易访问性以及处理该数据的业务要求方面的任何最新方面都是最新的。

就GDPR本身而言,没有确切的措辞来说明公司应将电子邮件保留多长时间。组织应自行制定各自的政策,并证明相应地采用了一种方法。

解决电子邮件保留的关键领域(包括本文中的那些领域)将为组织向监管机构(以及潜在的客户)证明他们在处理电子邮件和个人数据方面继续做正确的事情提供了一个良好的开端。保留。

图片版权:qimono /Foto.com CC0 license