Gagnageymsla í kosningum

Efni

• Hvað er gagnageymsla í kosningum?
• Tegundir kosningagagna
• Lagalegar geymslukröfur
• GDPR og gagnageymsla
• Geymslutímar eftir gagnategund
• Örugg gagnageymsla
• Aðferðir við gagnaleyðingu
• Varðveisla rekstursleiða
• Áskoranir í gagnageymslu
• Bestu starfshættir í stjórnun kosningagagna

---

Gagnageymsla í kosningum vísar til þeirra stefna og framkvæmda sem stjórna því hve lengi gögn tengd kosningum eru geymd eftir að kosningum lýkur. Stofnanir þurfa að jafna þörfina fyrir að varðveita skrár vegna lagafylgni, lausn deilumála og endurskoðunar með skyldunni til að eyða persónulegum gögnum þegar þau eru ekki lengur nauðsynleg — sérstaklega samkvæmt GDPR.

Hvað er gagnageymsla í kosningum?

Allar netkosningar búa til gögn: kjósendaskrár, auðkenningarskrár, dulkóðað atkvæði, niðurstöður og kerfisskrár. Gagnageymslastefnur skilgreina hve lengi hver flokkategund er geymd, hvernig hún er varin meðan á geymslu stendur og hvenær og hvernig henni er eytt á öruggan hátt. Þessar stefnur verða að vera í samræmi við viðeigandi lög á sama tíma og þær styðja við stjórnunarþarfir stofnunarinnar.

Tegundir kosningagagna

Netkosningar framleiða nokkra flokka gagna með mismunandi geymslukröfum:

• Skráningargögn kjósenda: Nöfn, netföng, hæfnisstaða
• Auðkenningarskrár: Inngangsskrár, tveggja þátta auðkenningar viðburðir
• Atkvæðagögn: Dulkóðuð atkvæði og tengdar dulmálsstaðfestingar
• Niðurstöðugögn: Atkvæðamagn, meirihlutareikningar, niðurstöðuskrár
• Kerfisskrár: Tæknilegar skrár yfir rekstur og atburði á pallinum
• Kosningarreglur: Formleg skilríki kosningaferlisins
• Samskiptaskrár: Boðsbréf, áminningar og tilkynningar sendar til kjósenda

Lagalegar geymslukröfur

Geymslukröfur eru mismunandi eftir lögsögu og gerð stofnana:

• Fyrirtækjalög: Hluthafakosningar skrár kunna að þurfa að vera geymdar í 10 ár eða lengur
• Félagslög: Fundargerðir og niðurstöður kosninga eru oft krafnar um að vera geymdar til æviloka stofnunarinnar
• Vinnulög: Kosningaskjöl vinnufunda kunna að hafa sérstaka geymslufresti
• Skattalög: Fjárhagslegar ákvarðanir sem samþykktar eru með atkvæði kunna að vera geymdar vegna skattalegrar fylgni
• Kosningareglugerðir: Sum lögsagnarumdæmi tilgreina lágmarksgeymslutíma fyrir kosningaskjöl

GDPR og gagnageymsla

Geymsluskerðingarreglan í GDPR (grein 5(1)(e)) krefst þess að persónugögn séu aðeins geymd eins lengi og nauðsynlegt er fyrir tilganginn sem þau voru safnað fyrir. Fyrir kosningagögn þýðir þetta að persónugögn kjósenda ætti að eyða eftir að kosningartilgangurinn hefur verið uppfylltur, geymsla verður að vera réttlætanleg með sérstakri lagalegri ástæðu, kjósendur verða að vera upplýstir um geymslutímabil, og að nafnleysing ætti að vera skoðuð sem valkostur til eyðingar þegar samantektargögn eru ennþá nauðsynleg.

Geymslutímar eftir gagnategund

Mismunandi gagnaflokkar krefjast mismunandi geymslutíma:

• Persónugögn kjósenda: Eyða eftir að tíminn fyrir málaferli er útrunninn (venjulega 30–90 dögum eftir kosningar)
• Auðkenningarskrár: Geyma á meðan á mögulegum ágreiningi stendur
• Dulkóðuð atkvæði: Geyma þar til niðurstöður hafa verið staðfestar og allir ágreinir eru úr sögunni
• Niðurstöðugögn: Geyma fyrir nauðsynlegt geymslutímabil stofnunarinnar (oftast ár)
• Kosningarreglur: Geyma varanlega sem hluta af skjölum stofnunarinnar
• Kerfisskrár: Geyma í takmarkaðan tíma til að viðgerða tæknilega bilanir (30–90 dagar)

Örugg gagnageymsla

Á geymslutímabilinu verður að geyma kosningagögn örugglega:

• Dulkóðun á geymslu: Öll geymd gögn eiga að vera dulkóðuð
• Aðgangsstýringar: Aðeins valdir starfsmenn eiga aðgang að kosningagögnum
• Aðgreining: Kosningagögn ættu að vera geymd aðskilin frá öðrum gögnum stofnunarinnar
• Afritunarvernd: Afrit verða að fylgja sömu geymslu- og eyðingastefnum
• Landfræðileg staðsetning: Hýsingarstaður gagna verður að vera í samræmi við reglur um flutning milli landa

Aðferðir við gagnaleyðingu

Þegar geymslutímabil rennur út verður að eyða gögnum á öruggan hátt:

• Rafræna eyðing: Að eyða dulkóðunarlyklum gerir dulkóðuð gögn varanlega óaðgengileg
• Örugg yfirskrifun: Margfaldar yfirskrifunarfærslur tryggja að ekki sé unnt að endurheimta gögn
• Eyðingarvottorð: Skjalfesta að eyðing hafi átt sér stað rétt
• Hreinsun afrita: Tryggja að eydd gögn séu einnig fjarlægð úr afritum
• Staðfesting: Staðfesta að eyðing hafi verið heill og óafturkallanleg

Varðveisla rekstursleiða

Á meðan persónugögn kjósenda ættu að vera eytt samkvæmt geymsluáætlunum, kunna sumir hlutar af rekstursleiðum að þurfa að vera geymdir lengur vegna stjórnunarástæðna. Áskorunin er að halda nægum upplýsingum til að sanna að kosning hafi farið fram réttilega á meðan gögnum sem gætu auðkennt einstaka kjósendur eða val þeirra er eytt.

Áskoranir í gagnageymslu

Stofnanir standa frammi fyrir ýmsum áskorunum þegar kemur að stjórnun á geymslu kosningagagna:

• Andstæðar kröfur: Mismunandi lög kunna að tilgreina mismunandi geymslutíma fyrir sömu gögn
• Varnarviðræður: Lögfræðileg mál kunna að krefjast umframs geymslu umfram venjuleg tímabil
• Tæknileg flækja: Tryggja fullkomna eyðingu um öll kerfi og afrit
• Reglur milli landa: Alþjóðlegar stofnanir kunna að standa frammi fyrir mismunandi kröfum eftir lögsögu
• Arfleifðargögn: Söguleg kosningagögn frá því áður en geymslureglur voru settar

Bestu starfshættir í stjórnun kosningagagna

Stofnanir ættu að setja skýra gagnageymslastefnu áður en netkosningar fara fram, skjalfest legal grundvöll fyrir hverju geymslutímabili, útfæra sjálfvirkar eyðingaráætlanir innan atkvæðagreiðslu kerfisins, viðhalda nafnlausum niðurstöðum aðskildu frá persónulegum gögnum, reglulega endurskoða fylgni við geymslustefnur, og miðla geymsluaðferðum til kjósenda í gegnum persónuverndartilkynningar.