Retencja danych, czyli usuwanie danych osobowych

Retencja danych, czyli przez jaki okres należy przetwarzać dane osobowe

 

W myśl przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO) - dane osobowe, które umożliwiają ustalenie tożsamości konkretnej osoby powinny być przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w ramach których są one przetwarzane. I tu ważna uwaga. Częsta praktyka stosowana w wielu przedsiębiorstwach polegająca na przechowywaniu dokumentów zawierających dane osobowe „na wszelki wypadek”, może niewątpliwie naruszać przepisy RODO, narażając tym samym daną instytucję na odpowiedzialność prawną z tego tytułu. Poniżej słów kilka na temat najważniejszych kwestii RODO odnoszących się do tego zagadnienia.

JAK DŁUGO MOGĘ PRZECHOWYWAĆ DANE OSOBOWE?

Należy pamiętać, że w przypadku każdego przedsiębiorstwa okres przechowywania danych każdorazowo będzie inny. Wszystko zależy od celu, w ramach którego administrator je gromadzi. Ze względu na to, że przepisy RODO co do zasady nie precyzują długości okresu przetwarzania danych, to właśnie na administratorze każdorazowo będzie ciążył obowiązek doprecyzowania tej kwestii.

Pamiętaj, że po zrealizowaniu celu, w jakim przetwarzaliśmy dane osobowe, każdy przedsiębiorca powinien zadbać o ich bezzwłoczne usunięcie.

RODO zawiera ogólne wytyczne dotyczące ograniczenia czasowego przetwarzanych danych. Warto jednak zauważyć, że obowiązek ich przechowywania przez konkretny okres może zostać odgórnie nałożony na przedsiębiorstwo na mocy przepisów ustaw szczególnych. Za przykład można podać chociażby wymóg dziesięcioletniego przechowywania dokumentów po ustaniu stosunku pracy związanego z aktami osobowymi pracownika.Tu warto nadmienić, że dziesięcioletni okres przechowywania danych dotyczy tylko pracowników zatrudniony po dniu 1 stycznia 2019 roku! Jeśli chcemy ustalić termin dla pracowników zatrudnionych przed tą datą, należy zerknąć w przepisy (!)

DŁUŻSZY OKRES PRZECHOWYWANIA DANYCH (ART. 5 RODO)

Istnieją ustawowe wyjątki, na mocy których możliwy jest dłuższy okres przechowywania danych - nawet po zrealizowaniu celu, dla którego pierwotnie były one gromadzone.

Zgodnie z art. 5 ust. 1 lit e RODO będą to działania polegające na przechowywaniu danych:

  1. dla celów archiwalnych w interesie publicznym;
  2. dla celów badań naukowych;
  3. dla celów badań historycznych;
  4. dla celów statystycznych.

TABELA RETENCJI DANYCH OSOBOWYCH

Pamiętaj, że dbając o należyty okres przechowywania danych osobowych minimalizujesz ryzyko ich wycieku. W dobie informatyzacji próby włamania się na serwery przedsiębiorstw (w szczególności tych, które przetwarzają duże ilości danych) będą coraz częstszym zjawiskiem. Należy wskazać, iż dzięki zredagowaniu odpowiedniej polityki przechowywania konkretnych dokumentów moglibyśmy liczyć na to, iż, potencjalny incydent w obszarze RODO pociągałby za sobą dużo mniejsze skutki dla przedsiębiorstwa, przede wszystkim w przypadku cyklicznego usuwania zbędnych danych dotyczyłby on mniejszej ilości osób, których dane dotyczą.

Nie można jednak zapominać o tym, że zanim dojdzie do usunięcia danych osobowych z serwerów przedsiębiorstwa lub też zdecydujemy o ich zniszczeniu za pomocą niszczarki powinniśmy zrealizować cel, dla którego były one przetwarzane. Przedsiębiorstwo powinno zatem przechowywać dane tak długo, aby w razie wszczęcia postępowania (np. przez urząd skarbowy) możliwym stało się przedłożenie ich odpowiedniemu organowi. Należy także wskazać, iż ustalając ograniczenie czasowe przetwarzanych danych warto każdorazowo zwrócić uwagę na okres przedawnienia roszczeń związanych z danym zobowiązaniem.

I tu mamy naszą tabelę retencji. Warto zadbać o to, aby za wczasu przygotować się do procesu i ustalić, po jakim czasie będziesz usuwać dane osobowe. Uwaga - to nie jest jedynie życzenie organu nadzorczego. Organ może od nas tego żądać uwzględniając chociażby obowiązek planowania pewnych procesu zanim przyjdzie nam go realizować. Wszak cieżko udowodnić, że administrator w głowie ma wszystkie te trudne do zapamiętania terminy usuwania danych osobowych. Zgodnie z zasadą rozliczalności, wszystko to skrupulatnie dokumentuj, uaktualniaj, planuj za wczasu.

Jak mogłaby wyglądać taka tabela? Rekomendujemy naszym klientom, aby każdy proces miał odrębny wiersz, w którym ustalony będzie konkretny proces przetwarzania danych podlegających retencji, termin usuwania danych, a także podstawa prawna takiego terminu. To wydaje się być minimum, ale żadne przepisy nie ustalają konkretnego kształtu tabeli retencji. A zatem hulaj dusza, piekła nie ma. Zredaguj tabelę tak, by odpowiadała ułożonemu przez Ciebie procesowi, a także by była jasna i czytelna. Nie zapominaj, że tabela będzie też wykorzystywana przez osoby odpowiedzialne za realizację tego procesu. Warto przemyśleć sprawę spisania polityki tudzież instrukcji, która wprowadzi odbiorcę w temat usuwania danych osobowych.

A jak usuwać dane osobowe? Zerknij tutaj.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

Kategorie

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Rejestr czynności przetwarzania
Rejestr czynności przetwarzania

RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?

Analiza ryzyka
Analiza ryzyka

Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.

RODO-Advisor

▪️nie wdrożyłeś RODO w firmie▪️szukasz bieżącego wsparcia▪️szukasz Inspektora Ochrony Danych▪️odnotowałeś wyciek danych▪️masz problem i chcesz go przedyskutować▪️chcesz przeszkolić personel▪️ 

ROZWIĄŻEMY PROBLEM

▪️chcesz korzystać z przysługujących RODO-uprawnień▪️czujesz, że Twoje prawa nie są przestrzegane▪️chcesz mądrze zarządzać swoimi danymi osobowymi, ale nie wiesz jak▪️ myślisz o założeniu firmy i chcesz poznać RODO-procesy▪️ 

Kontakt

787 799 843
kontakt@rodo-advisor.pl
Plac Hallera 5 lok. 14A
03-464 Warszawa

CREATED BY REVEO

Dokumentacja RODO - Polityka Prywatności oraz Ogólna klauzula informacyjna