Ochrona danych / 5 października 2021 przez Beata Walczyna-Szydełko
Zgodnie z RODO okres przechowywania
danych osobowych powinien być ograniczony do ścisłego minimum. Co to oznacza w
praktyce?
Dane osobowe mogą być przechowywane przez
okres nie dłuższy, niż jest to niezbędne do osiągnięcia celów, w których są
przetwarzane. W okresie przechowywania wymagane jest utrzymywanie adekwatnych środków
technicznych i organizacyjnych dla zapewnienia bezpieczeństwa danych osobowych.
Jeśli cele zostały osiągnięte, wówczas co
do zasady dane osobowe powinny zostać usunięte. Przechowywanie po tym czasie
może być uzasadnione jedynie potrzebą ich archiwizacji w interesie publicznym, przetwarzania
w ramach badań naukowych, historycznych lub działań statystycznych.
Administrator Danych Osobowych (ADO) ma
obowiązek podania osobie, której dane dotyczą, okresu, przez który dane osobowe
będą przechowywane, już podczas pozyskiwania danych osobowych. Komunikat musi
być konkretny. Ogólne stwierdzenie przez ADO, że dane osobowe będą
przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów
przetwarzania, jest niewystarczające. Informacja podana przez ADO musi być
zrozumiała dla osoby, której dane dotyczą.
ADO powinien rozważyć specyfikę
prowadzonej przez siebie działalności, procesów zachodzących w organizacji,
które obejmują przetwarzanie danych osobowych i odpowiednio wcześniej – przed pozyskaniem
danych osobowych – ustalić czas ich przechowywania (okres retencji), przyjąć właściwe
kryteria, wybrać termin okresowego przeglądu baz danych osobowych oraz usuwania
tych rekordów, które nie są niezbędne.
Wszystkie wymienione aspekty powinny być
przemyślaną polityką retencyjną organizacji, nie powinny być opracowywane doraźnie,
dopiero w razie kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych.
Polityka retencyjna powinna mieć charakter kompleksowy – uwzględniać różne
okresy przechowywania odmiennych kategorii danych osobowych, przetwarzanych w rozmaitych
celach.
Jeśli przepisy prawa regulujące funkcjonowanie
ADO nie wskazują maksymalnego dopuszczalnego czasu przechowywania danych
osobowych, wówczas ADO powinien dokonać samodzielnej oceny, w jakim czasie rzeczywiście
będzie potrzebować danych osobowych do realizacji zadań, dla których pozyskał
dane osobowe, czy dane osobowe są nadal nieodzowne.
Dane osobowe mogą być przechowywane między innymi przez okres trwania umowy, czy czas wynikający z przedawnienia potencjalnych roszczeń. Nie można ich jednak przechowywać w nieskończoność, na wszelki wypadek. Zgodnie ze stanowiskiem Naczelnego Sądu Administracyjnego niedopuszczalne jest przetwarzanie danych osobowych na przyszłość. Jeśli potencjalny Klient złożył wniosek o zawarcie umowy, ale następnie nie doszło do zawarcia umowy przez ADO z Klientem, należy uznać, że nie powstał stosunek zobowiązaniowy. Przetwarzanie danych osobowych przez ADO w opisanej sytuacji, mimo braku zawarcia umowy, to przetwarzanie zapasowe, dodatkowe i jako takie nie może być uznane za przetwarzanie dla wypełnienia prawnie usprawiedliwionych celów (wyrok Naczelnego Sądu Administracyjnego z 6 marca 2019 r., sygn. akt: I OSK 994/17).
Treść niniejszego materiału ma wyłącznie charakter informacyjny i nie może być traktowana, jako porada prawna. Zawarte w materiale treści mogą nie wyczerpywać w pełni problemów lub zagadnień prawnych związanych z nowelizowanymi przepisami, orzeczeniami, interpretacjami. Każda sprawa wymagająca wiedzy prawniczej ma swój indywidualny wymiar, co uzasadnia jej indywidualną analizę. Zaleca się uprzednią konsultację konkretnej sprawy z radcą prawnym, adwokatem lub innym wykwalifikowanym prawnikiem. W przypadku jakichkolwiek pytań związanych z przedstawionymi powyżej zagadnieniami prawnymi oraz ich możliwym wpływem na działalność Użytkownika prosimy o kontakt drogą elektroniczną na adres e-mail: kontakt@fibi.com.pl lub pisemnie na adres: ul. Chłodna 64/315, 00-872 Warszawa.