Na czym polega zasada czasowości przetwarzania danych

Zgodnie z art. 5 ust. 1 lit. e RODO dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane.

Przechowywanie danych osobowych przez dłuższy okres jest możliwe tylko wówczas, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy RODO w celu ochrony praw i wolności osób, których dane dotyczą.

Tę zasadę przetwarzania danych osobowych nazywa się zasadą ograniczenia przechowywania bądź czasowości.

Chodzi więc w istocie o to, aby dane nie były przetwarzane przez okres dłuższy, niż wymagałby tego cel przetwarzania. Nie można przetwarzać danych na zapas, jeżeli administrator zakłada, że jeszcze kiedyś pozyskane dane mogą mu się do czegoś przydać. Zasada czasowości bierze pod uwagę interes osoby fizycznej, a nie administratora. Dane nie mogą być przetwarzane przez danego administratora przez czas niczym nieograniczony.

Administrator danych powinien już przy rozpoczęciu przetwarzania danych przeanalizować, przez jaki okres dane będą mu potrzebne do realizacji określonego przez niego celu. Czas przetwarzania danych powinien być zakomunikowany osobie, której dane są przetwarzane, poprzez wskazanie okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, poprzez wskazanie kryteriów ustalania tego okresu. Taki obowiązek informacyjny dotyczy zarówno sytuacji, gdy dane są zbierane bezpośrednio od osoby, której dotyczą, jak również gdy są one pozyskiwane z innych źródeł.

Wskazówką do określenia okresu przetwarzania danych mogą być przepisy prawa. Jednak nawet wówczas należy dokładnie przeanalizować, czy nie ma np. innej regulacji, która uprawniałaby (a nawet zobowiązywała) do przetwarzania danych przez dalszy okres.

Co do zasady każdy cel przetwarzania danych powinien posiadać określony własny okres przechowywania danych. Po upływie okresu przetwarzania danych konieczne będzie ich usunięcie lub przetworzenie w taki sposób, aby nie była możliwa dalsza identyfikacja osoby, której dane dotyczą. Administrator powinien więc wprowadzić stosowne procedury w celu usuwania lub anonimizowania danych osobowych po upływie założonego okresu ich przetwarzania.