Jak ustalać okres retencji dla różnych kategorii danych

Prawidłowa retencja danych w organizacji to jeden z podstawowych obowiązków administratora danych. Jednak ustalenie okresu, w jakim dopuszczalne jest przetwarzanie danych osobowych, niejednokrotnie przysparza problemów. Można to zaobserwować, przeglądając klauzule informacyjne, w których administratorzy danych są zobowiązani do podania okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu. W praktyce zdarza się jednak, że w klauzulach informacyjnych okres przechowywania danych jest wskazywany bardzo ogólnie, co budzi wątpliwości co do prawidłowości sporządzenia takiej klauzuli informacyjnej, ale pokazuje też, że ustalenie okresów retencji danych wymaga szerszej analizy.

Zasada ograniczonego przechowywania danych

Jedną z podstawowych zasad wynikających z RODO jest zasada ograniczonego przechowywania danych wynikająca z art. 5 ust. 1 pkt e RODO, zgodnie z którym dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których
dane te są przetwarzane.

Na marginesie należy zaznaczyć, że w art. 5 ust. 1 pkt e RODO wskazano także, iż dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy przepisów RODO w celu ochrony praw i wolności osób, których dane dotyczą.

W motywie 39 Preambuły RODO w odniesieniu do zasady ograniczonego przechowywania danych wskazano, że „wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum (…). Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe”.

Na jakiej podstawie należy ustalać okresy retencji danych?

Prezes Urzędu Ochrony Danych Osobowych (dalej PUODO) w swoim komunikacie z dnia 15 października 2020 r., pt. „Czy trzeba precyzyjnie określać okres przechowywa­nia danych?”, wskazał, że „żeby zapobiec przechowy­waniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu (motyw 39 RODO). W tym celu administrator powinien dokonać analizy dotyczących jego działalności przepisów prawa. W przypadku wielu podmiotów publicznych doprecyzowanie przepisów archiwizacyjnych (ustawy o narodowym zasobie archiwalnym i archiwach) stanowi instrukcja kancelaryjna. W przypadku zaś podmiotów, w odniesieniu do których brak jest szczegółowych regulacji w tym zakresie, należy stosować ww. wskazane zasady ogólne wynikające z RODO. Konieczność samodzielnego określenia przez administratora okresu przechowywania danych osobowych może zachodzić bowiem nawet w sytuacji, w której cele przetwarzania danych określone są w przepisach prawa. W takich sytuacjach obowiązkiem administratora jest dokonanie oceny, czy cele zostały osiągnięte i czy dane są mu nadal potrzebne[1]”.

Okresy retencji danych powinny być zatem ustalone po pierwsze, w odniesieniu do celu, w jakim dane mają być przetwarzane, a po drugie, z uwzględnieniem przepisów prawa. Niejednokrotnie okres przechowywania danych jest wprost wskazany w przepisach prawa, np. art. 94 pkt 9b Kodeksu pracy wskazuje, że należy przechowywać dokumentację pracowniczą przez okres zatrudnienia, a także przez okres 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł.

Zdarza się też, że te same dane mogą mieć różne terminy retencji danych, np. dane osobowe przetwarzane w związku z realizowaną umową będą przechowywane przez 5 lat (wynikający z ustawą o rachunkowości), ale także te same dane mogą być przetwarzane przez 6 lat, bo tyle wynosi ich termin przedawnienia (art. 118 Kodeksu cywilnego). W tym drugim przypadku administrator danych będzie przetwarzał przedmiotowe dane w celu obrony przed ewentualnymi roszczeniami na podstawie przesłanki uzasadnionego interesu.

Określenie prawidłowej podstawy prawnej przetw...

Dalsza część jest dostępna dla użytkowników z wykupionym planem