W jaki sposób informować o planowanych terminach usunięcia danych osobowych?

Usuwanie danych osobowych w sytuacji, gdy upłynął okres niezbędny do osiągnięcia celów, w których dane te zostały zgromadzone, jest jednym z podstawowych obowiązków administratora danych na gruncie wymogów bezpieczeństwa danych osobowych. Co więcej, z przepisów RODO wynika nie tylko konieczność określenia i sprecyzowania tych danych, ale także przekazania osobom, których dane dotyczą, informacji o planowanych terminach usunięcia danych.

Warto jednak w związku z tym rozważyć zagadnienie, czy i w jaki sposób informować osoby, których dane dotyczą, o planowanych terminach usunięcia danych i jak precyzyjnie terminy te powinny zostać określone, mając na uwadze, że część danych można usunąć na podstawie przepisów prawa, które szczegółowo wskazują terminy przechowywania danych. Istnieje jednak wiele sytuacji, w których terminy te mogą zostać zasadnie wydłużone przez administratora danych.

Obowiązek informacyjny a okres przechowywania danych

W pierwszej kolejności należy zwrócić uwagę, że zgodnie z art. 13 i 14 RODO informacje podawane w wypadku zbierania danych od osoby, której dane dotyczą, oraz w sytuacji, gdy danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator danych ma obowiązek poinformować te osoby o okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, wskazać kryteria ustalania tego okresu.

W praktyce oznacza to zatem, że już na etapie przekazywania klauzuli informacyjnej administrator danych musi wskazać co najmniej podstawę, na bazie której będzie ustalał okres przechowywania tych danych. W tym miejscu należy jednak wskazać, że zarówno w art. 13 ust. 3, jak i w art. 14 ust. 4 RODO znalazł się analogiczny zapis, zgodnie z którym: jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2 art. 13 i odpowiednio 14 RODO.

Zgodnie z powołanymi przepisami w sytuacji, gdy administrator danych zmienia pierwotny cel, w którym zebrał dane osobowe, powinien (zgodnie z art. 13 ust. 2 RODO) poinformować osobę, której dane dotyczą, o:

  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, podać kryteria ustalania tego okresu;
  • prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a;
  • prawie wniesienia skargi do organu nadzorczego;
  • tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy, oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych sytuacjach – podać istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

W wypadku przekazywania klauzuli informacyjnej na podstawie art. 14 RODO konieczne jest jeszcze przekazanie informacji o:

  • prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO;
  • źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.

W tym miejscu warto także powołać stanowisko Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO), który w komunikacie z dnia 15 października 2020 r. „Czy trzeba precyzyjnie określać okres przechowywania danych?”[1], zaznaczył, że „wskazanie okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, określenie kryteriów ustalania tego okresu, jest jednym z elementów podawanych podczas dopełniania obowiązku informacyjnego spełnianego wobec osoby, której dane dotyczą, na mocy art. 13 ust. 2 lit. a i art. 14 ust. 2 lit. a RODO. W Wytycznych Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260 rev. 01 w załączniku dotyczącym informacji, które należy przekazać osobie, której dane dotyczą, na podstawie art. 13 lub art. 14 wskazano (s. 46), że okres przechowywania (lub kryteria jego ustalania) może być podyktowany takimi czynnikami, jak wymogi ustawowe lub wytyczne branżowe, jednak informacja o nim powinna być sformułowana w taki sposób, aby osoba, której dane dotyczą, miała możliwość ocenienia – na podstawie własnej sytuacji – ile będzie trwał okres przechowania w przypadku określonych danych/celów. Ogólne stwierdzenie przez administratora, że dane osobowe będą przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów przetwarzania, jest niewystarczające. W stosownych przypadkach należy ustalić różne okresy przechowywania dla różnych katego...

Dalsza część jest dostępna dla użytkowników z wykupionym planem