Audyt retencji przetwarzania danych (minimalizacja okresu przetwarzania, usuwanie danych)

Minimalizacja danych powinna być dokonywana także w aspekcie czasowym. Z art. 5 ust. 1 lit. e RODO wynika, że jeśli przedsiębiorca zrealizuje cel danego procesu przetwarzania danych (np. wykona już w pełni usługę, na potrzeby której dane zostały zgromadzone), a nie istnieje inna podstawa do dalszego przetwarzania tych danych (np. przepis prawa, zgoda lub prawnie usprawiedliwiony interes), to ma dwa wyjścia:

  1. usunąć dane albo
  2. zanonimizować dane.

 

PRZYKŁAD

Firma posiada na swojej stronie www formularz, za pomocą którego użytkownicy mogą zadawać pytania na chacie. Pewien użytkownik po zadaniu kilku pytań prosi o przesłanie spersonalizowanej oferty na adres e-mail, który podaje w chacie. Oferta zostaje przesłana, jednak klient nie decyduje się na zakup. Mijają trzy tygodnie. Z doświadczenia firmy wynika, że osoby, które nie zdecydowały się na zakup produktu w ciągu trzech dni od rozmowy, najprawdopodobniej nie zostaną klientami. Wobec tego dane wyżej wymienionego użytkownika powinno się usunąć z bazy firmy – zarówno z historii chatu, jak i ewentualnie z bazy CRM czy nawet z historii wysłanych wiadomości.


O tym, jaki jest odpowiedni czas retencji (przechowywania) danych, decydują okoliczności każdego pojedynczego przypadku. Dla jednej firmy będzie to kilka dni, dla innej może nawet rok. W niektórych przypadkach okres retencji wynika z wymogów prawa (np. przechowywanie danych księgowych i kadrowych), czasami jest odpowiedni do okresów przedawnienia roszczeń lub okresów udzielonych gwarancji, w niektórych zaś sytuacjach będzie wynikał z praktycznego doświadczenia firmy (należy spojrzeć na statystyki – po jakim okresie wiadomo z dużym prawdo­podobieństwem, że klient, który otrzymał ofertę, ale nie dokonał zakupu, nie powróci już nigdy do danej firmy).

Jako praktyczny przykład działania zasady minimalizacji czasowej przetwarzania danych można wskazać sytuację, w której wypowiedział się Naczelny Sąd Administracyjny w Warszawie[1], rozstrzygając kwestię, jak długo dane osobowe konkretnego kredytobiorcy mogą być przetwarzane przez instytucję prowadzącą Biuro Informacji Kredytowej (BIK). NSA wskazał, że dane te powinny być usunięte z BIK-u w momencie, gdy kredytobiorca całkowicie spłacił kredyt, a bank kredytujący zamknął jego rachunek. Bank kredytujący jest uprawniony do dłuższego przechowywania danych osobowych klientów, nawet po pełnej spłacie kredytu, z powodu mogących się pojawić roszczeń klientów (można sobie wyobrazić, że klient spłaca przez kilka lat kredyt zgodnie z umową, jednak jakiś czas po dokonaniu spłaty stwierdza, że raty kredytu zostały przez bank zawyżone i w rzeczywistości zapłacił więcej, niż powinien był według pierwotnej umowy). Nie oznacza to jednak, że BIK może przechowywać dane tak samo długo. Celem BIK-u jest przede wszystkim informowanie o niewykonanych przez klientów zobowiązaniach kredytowych, by inne banki mogły uwzględnić to przy ocenie zdolności kredytowej takiej osoby. Jeśli jednak wszelkie zobowiązania zostały spłacone, to prawo do prywatności przysługujące kredytobiorcy przeważa nad ewentualnymi interesami banków, które mogłyby być zainteresowane dalszym posiadaniem informacji o spłaconym kredycie.

Inną sytuacją, w której należy usuwać dane, jest prowadzenie rekrutacji. Jeśli w danym procesie rekrutacyjnym zebrano podania od 50 osób, po czym zatrudniono pięć osób, to wszelką dokumentację dotyczącą pozostałych 45 osób należy usunąć. Jedynym przypadkiem, gdy takie dokumenty rekrutacyjne będzie można zachować, będzie wyrażenie przez kandydatów zgody na to, by ich podania były przechowywane na potrzeby przyszłych rekrutacji. Niemniej jednak w takiej sytuacji okres udzielonej zgody nie powinien trwać „w nieskończoność”. Można poprosić samych kandydatów o to, by wskazali, jak długo chcą figu­rować w bazie rekrutacyjnej danego pracodawcy lub portalu pośredniczącego w zatrudnianiu.

Innym wyjściem jest anonimizacja danych, jeśli administrator chce je przetwarzać jedynie na cele statystyczne (np. w celu podawania w materiałach marketingowych, ilu dotychczas osobom firma sprzedała swój produkt czy usługę) i nie jest potrzebna dalsza identyfikacja konkretnych osób. Kolejnym przykładem może być firma konsultingowa, która posiada potrzebę gromadzenia danych merytorycznych używanych w procesach świadczonych przez siebie usług, by wypracowaną przez siebie wiedzę i doświadczenie wykorzystywać na potrzeby kolejnych klientów. Przykładowo, kancelaria prawna posiada bazę spraw dotychczas prowadzonych. Zdarzają się sprawy podobne do siebie (w szczególności jeśli kancelaria specjalizuje się w jakiejś dziedzinie prawa), w związku z czym prawnicy pracujący przy bieżącej sprawie sięgają do pism stworzonych w poprzednich podobnych procesach, aby zwiększyć efektywność pracy i wykorzystać wcześniejsze doświadczenie (de facto jest to know-how kancelarii). Po okresie przedawnienia roszczeń taki know-how kancelarii może oczywiście być przechowywany, ale zgodnie z RODO celowa byłaby jego zmiana na formę anonimową. Taka operacja przyczyni się też do zmniejszenia ryzyka wycieku informacji (im mniej danych się przechowuje, tym mniejsze jest ryzyko ich przypadkowego ujawnienia osobom nieuprawnionym).

Należy pamiętać, że pod pojęciem anonimizacji RODO rozumie proces nieodwracalny, w którym informacje pozbawiane są powiązania ich z konkretnymi osobami. Natomiast jeśli szyfruje się dane, ale w ten sposób, że za pomocą odpowiedniego klucza administrator może je ponownie zdekodować, wówczas mamy od czynienia z pseudonimizacją. Dane pseudonimizowane pozostają danymi osobowymi i nadal stosuje się do nich wszelkie wymogi ochrony nakładane przez RODO.

Jeśli chodzi o usuwanie danych, to zaleca się, by z każdego procesu usuwania administrator posiadał stosowny protokół czy raport (może być w formie elektronicznej, w tym także log informatyczny). W protokole takim powinno się podać datę usunięcia, osobę odpowiedzialną za to usunięcie oraz opis usuniętych danych (oczywiście bez przytaczania danych osobowych, które zostały usunięte). Taka ewidencja może być przydatna w przypadku kontroli organu ds. ochrony danych osobowych, aby wykazać, że firma prawidłowo realizuje zasadę ograniczonego przechowywania danych osobowych.

Podsumowując, audyt retencji (okresu przechowywania) danych osobowych w firmie sprowadza się do odpowiedzi na jedno pytanie: Czy dane osobowe, które się przechowuje, są jeszcze niezbędne do realizacji celu, dla którego przetwarza się te dane? Takie pytanie należy sobie zadać osobno wobec każdego zbioru danych (procesu biznesowego, w którym dochodzi do przetwarzania danych).        

 

[1]  Wyrok WSA w Warszawie z dnia 22 lutego 2005 r., sygn. akt II SA/Wa 2030/04.