Problematyka retencji danych osobowych stanowi jeden z budzących najwięcej wątpliwości obowiązków wynikających z RODO. W każdej firmie spotykamy się bowiem z podejściem, zgodnie z którym „zachowajmy te dokumenty jeszcze przez chwilę, w końcu mogą się przydać”. Z drugiej jednak strony przedsiębiorcy mają coraz większą świadomość tego, że przepisy RODO nałożyły na nich obowiązek cyklicznego usuwania niepotrzebnych danych.
Retencja danych – co to jest?
Artykuł 5 ustęp 1 litera e RODO nakłada na każdego przedsiębiorcę obowiązek przechowywania danych osobowych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą.
Zasada ograniczonego przechowywania danych osobowych nakłada więc na każdego przedsiębiorcę obowiązek okresowej weryfikacji, czy jest on w stanie wykazać dalsze istnienie celu uzasadniającego przechowywanie danych osobowych. Każda kategoria danych osobowych powinna więc mieć określony z góry okres ich przechowywania. Okres ten zależny jest od celu, w jakim dane osobowe są przetwarzane.
RODO, podobnie jak w wielu innych miejscach, nie określa tych terminów w sposób precyzyjny, odwołując się do przesłanki posiadania celu przetwarzania. W tym zakresie inny więc będzie termin przechowywania danych osobowych pracowników, inny osób rekrutowanych czy klientów, jeszcze zaś inny w zakresie danych osobowych w księdze gości prowadzonej w sekretariacie firmy.
Gdzie więc szukać wskazówek, kiedy usunąć dane osobowe?
W pierwszej kolejności należałoby odwołać się do przepisów prawa. Często nakładają one bowiem na przedsiębiorców obowiązki przechowywania dokumentacji przez dany okres. Przykładem mogą być tutaj przepisy prawa dotyczące przechowywania akt pracowniczych, czy zapisów nagrań z monitoringu wizyjnego. Okres przechowywania danych osobowych często wynikać może także z przepisów dotyczących przedawnienia roszczeń. Tak długo bowiem, jak okres przedawnienia nie upłynął, przedsiębiorca ma cel w pozostawieniu dokumentacji i przetwarzania w ten sposób danych osobowych. Zaznaczyć trzeba, że chodzi tu zarówno o potencjalne roszczenia samego przedsiębiorcy, jak i roszczenia, które mogą zostać zgłoszone przeciwko niemu (np. wynikające z obowiązków podatkowych względem organów państwowych).
W pozostałych przypadkach przedsiębiorca musi samodzielnie ocenić, przez jak długi czas nadal może on przechowywać dane osobowe. Niekiedy działanie takie może być trudne i niejednoznaczne. Przykładem takiej sytuacji jest przechowywanie danych osobowych zawartych w CV i listach motywacyjnych. Po przeprowadzeniu procesu rekrutacyjnego, o ile aplikujący wyraził na to zgodę zgodnie z art. 6 ust. 1 lit. a RODO, przedsiębiorca może przechowywać dane zawarte w tych dokumentach. Obowiązek ich usunięcia powstawał będzie oczywiście w momencie, w którym dana osoba wycofała wyrażoną zgodę. W praktyce następuje to jednak rzadko. Czy przedsiębiorca może więc przechowywać dane zawarte w CV w nieskończoność? RODO nie daje na to pytanie jasnej odpowiedzi. Jednak dobrą praktyką będzie w tym zakresie będzie ustalenie maksymalnego okresu, przez który takie dane będą przechowywane. Jak będzie on długi zależy od specyfiki branży i prowadzonej rekrutacji oraz wewnętrznej oceny przedsiębiorcy i jego inspektora ochrony danych.
Po co jest nam retencja danych?
Obowiązek usunięcia danych w momencie utraty celu ich przetwarzania jak widać może niekiedy rodzić określone problemy praktyczne. Wymaga też cyklicznej, minimum corocznej analizy zasadności usunięcia poszczególnych kategorii danych osobowych. Sama retencja tych danych ma jednak jedną podstawową zaletę. Pozwala bowiem na zmniejszenie ryzyk związanych z ich potencjalnym ujawnieniem.
Przykładowo wskazać można na sytuację, w której dany przedsiębiorca nie dokonuje regularnego przeglądu i usunięcia danych przez kilkadziesiąt lat. Ma więc w swoich systemach i aktach dane klientów, kontrahentów i dostawców, których nie powinien już posiadać. W przypadku utraty tych danych, wyciek taki mógłby dotyczyć wielu podmiotów, co oznaczałoby konieczność podjęcia określonych w RODO działań, w tym powiadomienia organu nadzorczego i osób, których dane ujawniono. Osoby takie, wobec faktu, że ich dane osobowe nie powinny być już przechowywane, miałby możliwość zgłaszania roszczeń, w tym odszkodowawczych, przeciwko przedsiębiorcy. Ewentualna odpowiedzialność majątkowa mogłaby wynikać także z kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych.
Nowy rok to dobra okazja, żeby przeprowadzić w firmie audyt w zakresie retencji danych osobowych. Przy zachowaniu założeń wskazywanych powyżej powinniśmy przeprowadzić analizę zasadności usunięcia danych należących do różnych kategorii. W przeciwnym razie narażamy się bowiem na ryzyko naruszenia przepisów RODO, co może skutkować dotkliwymi karami administracyjnymi i potencjalną odpowiedzialnością odszkodowawczą.
