Procedura określania okresów retencji danych, archiwizacji oraz usuwania danych po upłynięciu okresów dozwolonego ich wykorzystania

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

Niszczenie i anonimizacja danych osobowych

Zgodnie z art. 5 ust. 1e RODO dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, dla realizacji których dane te są przetwarzane. Wyrażona w tym przepisie zasada ograniczenia przechowywania wskazuje, że dane nie mogą być przetwarzane w nieskończoność i w każdym przypadku należy ocenić, czy ich przechowywanie jest niezbędne w kontekście realizacji konkretnych celów.
Dane osobowe nie mogą być zbierane na zapas, „na wszelki wypadek”, tj. bez wykazania celowości ich pozyskania i niezbędności dla realizacji zadań administratora danych (co wynika także z zasady adekwatności wyrażonej w art. 5 ust. 1c RODO).
Przez „retencję” rozumie się zasady i okresy usuwania danych osobowych wynikające z przepisów prawa lub celów administratora.

Należy usunąć dane, gdy:

  • minął okres ich przydatności,
  • okaże się, że cel, który chciano osiągnąć, nie wymaga już przetwarzania takich danych.

Usunięcie danych może nastąpić w chwili stwierdzenia przez administratora braku podstaw do dalszego przetwarzania, a w szczególności gdy są zbędne po zakończeniu realizacji zamierzonego celu, dla którego zostały zebrane.

Aby uniknąć sytuacji, w których dochodzi do przetwarzania danych osobowych po zrealizowaniu celu, w jakim zostały zebrane, należy postępować wg następujących zasad:

  • Regularnie dokonywać oceny zawartości zbiorów danych osobowych pod kątem usuwania zbędnych danych. Czynność ta powinna być dokonywana przez osoby upoważnione do przetwarzania danych osobowych, które o stwierdzeniu konieczności usunięcia danych osobowych powiadamiają inspektora ochrony danych osobowych.
  • W przypadku dużych zbiorów danych należy rozważyć, czy nie jest konieczne ustanowienie okresów ich przetwarzania. Czas ten byłby zróżnicowany w zależności od spodziewanego terminu przetwarzania danych, po którym byłyby usuwane lub zanonimizowane.
  • W przypadku gdy zgromadzone dane osobowe są zbędne ze względu na ustanie relacji pomiędzy admi­nistratorem danych a osobą, której dane dotyczą (ustanie stosunku pracy, zakończenie rekrutacji do służby lub pracy, zaprzestanie dokonywania trans­akcji itp.), usuwając lub anonimizując dane osobowe, należy zwrócić uwagę no to, że niektóre dane osobowe należy zachować ze względu na konieczność obrony interesów administratora w przypadku roszczeń osoby, której przetwarzane dane dotyczyły.

W pierwszej kolejności należy sprawdzić, czy istnieją przepisy szczególne regulujące obowiązek przetwarzania pewnych informacji przez z góry ustalony okres. Można tu wskazać przepisy prawa pracy, prawa podatkowego lub ustawy o rachunkowości. Jeśli ustawodawca nie reguluje takiej kwestii, należy odnieść ją do ewentualnego prawnie uzasadnionego interesu administratora – innym słowy zapytać, „jak długo te dane mogą być nam przydatne?”.

Należy również zwrócić uwagę na ustawy, które wskazują na konieczność archiwizowania danych osobowych zawartych w:

  • dokumentacji dotyczącej wszelkich spraw finansowych, ubezpieczeniowych, podatkowych,
  • dokumentacji kadrowej (teczki akt personalnych),
  • dokumentacji osób pobierających świadczenia.

Usunięcie zbioru danych osobowych musi być udokumentowane przez administratora protokołem usunięcia lub anonimizacji danych osobowych, w którym podaje się:

  • opis zbioru danych osobowych lub zakres danych, które należy usunąć,
  • uzasadnienie konieczności usunięcia zbioru danych.

Powyższe pozwala na określenie okresów przetwarzania danych osobowych w rejestrze czynności, w którym zamieszcza się informacje o poszczególnych danych osobowych, o okresach ich przetwarzania, wraz ze wskazaniem kryteriów ich ustalania (np. przepis prawa), a także informacje o aplikacjach, programach oraz nośnikach danych i ich lokalizacji (fizycznej, w systemie informatycznym). Kierownicy komórek organizacyjnych (lub działu) są odpowiedzialni za regularne usuwanie danych, w stosunku do których minął okres ich przydatności, a cel, który chciano osiągnąć, nie wymaga już przetwarzania takich danych.

Ustalając okres retencji, należy wziąć pod uwagę obecną i przyszłą wartość informacji, koszty, ryzyko i zobowiązania związane z przetwarzaniem danych, a także realną możliwość zapewnienia, by dane były aktualne.

Komórki organizacyjne regularnie muszą sprawdzać, czy dane są niezbędne do realizacji określonych celów, np. czy zawarta w nich treść nie wykracza poza niezbędne minimum. Administrator przetwarza tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Relewantność (adekwatność) danych powinna być oceniania najpóźniej w momencie ich zbierania.

Przeglądy i odpowiedzialność

Administrator prowadzi regularne przeglądy, podczas których osoba odpowiedzialna za realizację procedury retencji lub osoba przez nią upoważniona dokonuje okresowych przeglądów ustalonych okresów retencji, lokalizacji danych osobowych, a także weryfikacji faktycznej realizacji obowiązku usuwania danych osobowych.

Kierownicy komórek i jednostek organizacyjnych zobowiązani są do kontroli przetwarzanych w komórkach (jednostkach) danych osobowych (podstawa prawna, kryterium ustalania okresów przechowywania danych oraz ich lokalizacja).

Usuwanie danych osobowych

Usuwanie danych może mieć charakter zautomatyzowany – poprzez odpowiednią konfigurację systemów informatycznych (w przypadku danych przetwarzanych w formie elektronicznej) lub być dokonywane manualnie, okresowo, czemu towarzyszy zwykle sporządzenie protokołu usunięcia danych.
Systemy informatyczne powinny pozwalać na ustalanie okresów retencji poszczególnych danych, a także umożliwiać sprawne usuwanie całości lub części danych.
Wytyczne w zakresie niszczenia dokumentów oraz innych nośników zawierających dane osobowe uwzględniają takie elementy, jak:

  • fizyczne niszczenie dokumentacji,
  • likwidacja sprzętu i nośników zawierających dane osobowe,
  • usuwanie danych z systemów,
  • korzystanie z usług wyspecjalizowanych firm oferujących usługi w ww. zakresie.

Do niszczenia dokumentów papierowych można stosować niszczarki dokumentów. Istnieje kilka rodzajów niszczarek; oznaczane są obecnie według normy DIN 66399. Wymóg ochrony danych dzieli je na 3 klasy. Typ danych jest kontrolowany w celu określenia wymagania sposobu ich ochrony. Do niszczenia dokumentów zawierających dane osobowe należy stosować niszczarki klasy 2 lub 3. Do niszczenia dokumentów w formie papierowej można również skorzystać z usług firm utylizacyjnych. W tym przypadku zabezpieczony pojemnik na dokumenty dostarczany jest do wybranej lokalizacji. W pojemniku umieszcza się dokumenty przeznaczone do utylizacji.

Dla skutecznego niszczenia danych elektronicznych zalecane jest wykorzystanie specjalnie przeznaczonego w tym celu narzędzia – oprogramowania, które wielokrotnie nadpisuje dane zawarte na dysku w miejscu, gdzie zapisany był dokument. Usunięcie pliku za pomocą funkcji podstawowych zawartych w systemie informatycznym nie powoduje fizycznego usunięcia danych, a jedynie wymazanie adresu, pod jakim jest on zapisany na dysku.

Szczególną uwagę należy zwrócić na nośniki USB (pendrive). W przypadku konieczności zniszczenia całego dysku należy zastosować inne metody utylizacji, np. fizyczne zniszczenie nośnika, zanurzenie w kwasie lub demagnetyzacja, które niszczą bezpowrotnie cały nośnik danych.

Retencja a obowiązek informacyjny

Okresy retencji są wykorzystywane w treści obowiązku informacyjnego, który jest wypełniany wobec osób, których dane są przetwarzane. Jednym z jego elementów jest konieczność wskazania okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteriów ustalania tego okresu (art. 13 ust. 2a RODO – w przypadku zbierania danych od osoby, której dane dotyczą; art. 14 ust. 2a RODO – w przypadku zebrania danych z innego źródła; art. 15 ust. 1d ROO – wskazanie „w miarę możliwości” w przypadku realizacji prawa dostępu).

Procedura pseudonimizacji

Pseudonimizacja – to sposób postępowania z danymi. Oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie ziden­tyfikowanej lub możliwej do zidentyfikowania osobie
fizycznej.

Pseudonimizacja oznacza użycie np. liczby w miejsce imienia i nazwiska rzeczywistej osoby, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, które powinny być przechowywane osobno i objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie określonej osobie fizycznej.

Pseudonimizacji nie należy mylić z anonimizacją danych, czyli taką modyfikacją danych, która definitywnie uniemożliwia identyfikację osoby fizycznej. Pseudonimizacja zwiększa jedynie bezpieczeństwo danych, w związku z czym dane spseudonimizowane dalej pozostają danymi osobowymi ze wszystkimi tego konsekwencjami. Zasadność stosowania pseudonimizacji powinna być uwzględniana w fazie projektowania, na etapie wdrażania zabezpieczeń i rozwiązań informatycznych oraz w przypadku zmiany celu przetwarzania danych bez zgody osoby fizycznej.

Szyfrowanie danych

Wobec wzrastającej liczby cyberataków szyfrowanie w wielu przypadkach jest uznawane za odpowiedni środek zabezpieczenia danych.

Szyfrowanie jako środek bezpieczeństwa jest zalecane w przypadku niektórych usług świadczonych drogą elektroniczną, gdy ujawnienie osobom nieuprawnionym pewnych danych (numery kart, hasła dostępu do usług) mogłoby wyrządzić szkodę majątkową (np. płatności w transakcjach elektronicznych, bankowość internetowa) lub niemajątkową, np. porady medyczne.

Szyfrowanie, jako jeden z podstawowych środków służących zabezpieczeniu danych, jest konieczne do stosowania w przypadku przetwarzania danych osobowych na przenośnych urządzeniach, takich jak:

  • laptop,
  • smartfon,
  • dysk zewnętrzny,
  • pendrive,
  • nośniki CD i DVD.

Szyfrowanie danych na odpowiednim poziomie jest niezbędne w przypadku przetwarzania danych wrażliwych, w tym danych biometrycznych.

W razie wycieku zaszyfrowanych danych ryzyko ich odczytania przez osoby nieupoważnione i posłużenia się nimi będzie znacznie mniejsze. Szyfrowanie danych w systemach i aplikacjach zmniejsza potencjalne skutki naruszenia danych, ponieważ dane są bezużyteczne, co oznacza, że podmioty danych nie mogą zostać zidentyfikowane bez klucza szyfrującego. W celu zapewnienia pełnej ochrony we wszystkich przypadkach zastosowania, szyfrowanie powinno chronić dane zarówno wtedy, gdy nie są one używane, jak i podczas stosowania w aplikacjach w celu zapewnienia, że jeżeli naruszenie wystąpi w jakimkolwiek systemie, informacje pozostaną poufne.

Szyfrowanie wiadomości e-mail jest szyfrowaniem komunikacji wewnątrz i na zewnątrz organizacji, realizowanej np. za pośrednictwem e-maili. E-mail pozostaje główną formą współpracy w podmiotach. Albo poprzez zautomatyzowane uruchamianie DLP, albo przez inicjację użytkownika (klasyfikując lub dodając sklasyfikowane załączniki) wrażliwe maile powinny być chronione za pomocą szyfrowania poczty elektronicznej. Szyfrowanie poczty elektronicznej musi umożliwiać ochronę zarówno wewnętrzną, jak i zewnętrzną wiadomości wrażliwych i wszystkich załączników. Za szyfrowanie poczty odpowiadają jej użytkownicy, którzy dokonują jej szyfrowania za pomocą narzędzi systemowych.