RETENCJA DANYCH OSOBOWYCH ZGODNIE Z RODO – CZYM JEST I DLACZEGO WARTO O NIEJ PAMIĘTAĆ?

Nowe przepisy w zakresie ochrony danych osobowych zmusiły organizacje do dostosowania realizowanych przez nie procesów biznesowych do nowej rzeczywistości
prawnej. Czas pokazał, że każda branża ma specyficzne z tym problemy. Dla sektora ubezpieczeń jest to przede wszystkich spełnienie wymogów w kontekście
przetwarzania danych ubezpieczających i uprawnionych z tytułu umów ubezpieczenia.

Istotnym elementem staje się też przekazywanie danych poza organizację – pośrednikom (agenci lub brokerzy) lub firmom wspierającym zakład ubezpieczeń w procesie likwidacji szkód. Ważnym aspektem jest również realizacja żądań osób fizycznych w zakresie ich praw, jak też identyfikacja naruszeń ochrony danych
osobowych, których w sektorze ubezpieczeń jest znacząca ilość.

Słyszałeś o retencji danych osobowych, ale nie wiesz, co ten termin oznacza? Zastanawiasz się przez jaki okres możesz przetwarzać dane osobowe? Masz problem z wyznaczeniem okresów retencji? Tym artykułem postaram się rozwiać Twoje wątpliwości omawiając następujące zagadnienia:

• co oznacza termin retencja danych osobowych,
• w jaki sposób należy określić okres retencji,
• jakie są przykładowe okresy retencji danych osobowych,
• w jakich dokumentach wskazuje się okres retencji.

Retencja danych osobowych to przechowywanie danych osobowych w ograniczonym horyzoncie czasowym.

Dlaczego musimy usuwać dane osobowe?

RODO art. 5 wymaga, aby dane osobowe były zbierane w wyraźnie określonym i prawnie uzasadnionym celu. Ponadto, nie mogą być przetwarzane dalej w sposób niezgodny z wyżej wskazanymi celami. Po zakończeniu przetwarzania, dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora (np. przekazane do archiwum państwowego).

Wyrażona w tym przepisie zasada ograniczenia przechowywania wskazuje, że dane nie mogą być przetwarzane w nieskończoność i w każdym przypadku należy ocenić, czy dla
danego podmiotu są one niezbędne w kontekście realizacji konkretnych celów. Od tej ogólnej zasady, są przewidziane pewne wyjątki zezwalające na dłuższe przechowanie danych do celów: archiwalnych, historycznych, statystycznych lub badań naukowych ( RODO art. 89).

W praktyce niezbędne jest, aby każdy Administrator ustalił „niezbędny” dla siebie okres przechowania danych. Okres ten zwany jest właśnie okresem retencji danych osobowych. Ustalenie okresu retencji jest uzależnione od celu dla jakiego przetwarzane są dane. Inny będzie okres retencji danych klientów sklepu internetowego, którzy kupili produkt, a inny dla danych z księgi wejść/wyjść gości prowadzonej przez recepcję firmy. Teraz pojawia się jeszcze więcej pytań. Skąd mamy wiedzieć, jak określić okres, w którym możemy przetwarzać dane. Czy możemy go określić sami? A może wynika on z RODO? Nie, nie wynika z RODO, ale ustaw szczegółowych regulujących dane zagadnienie, takich jak Kodeks pracy czy Kodeks cywilny.

Wskazówką dla wyznaczania okresu retencji, bardzo często będzie okres przedawnienia roszczeń jaki jest związany z daną czynnością, dla której zbierane są dane. W odniesieniu do sprzedaży produktów, często będzie to okres przedawnienia zobowiązań podatkowych. Okres retencji może więc być wyznaczony przez przepisy prawa. Oznacza to, że takich okresów retencji jest bardzo wiele i wszystkie szczegółowo powinny zostać określone indywidualnie, tylko na potrzeby danej firmy – bo wszędzie będą się one nieco między sobą różniły, niemniej jednak do najważniejszych okresów retencji należą z pewnością:

• okres przechowywania danych osobowych związanych z rekrutacją do pracy – do zakończenia okresu rekrutacji,
• okres przechowywania danych osobowych związanych z zatrudnieniem – 50 lat od dnia ustania zatrudnienia, a dla pracowników zatrudnionych po 01.01.2019 r. 10 lat od dnia ustania zatrudnienia,
• okres przechowywania danych osobowych zebranych w celu wykonania umowy przez okres przedawnienia roszczeń związanych z takim celem przetwarzania danych, tj. co do zasady – 6 lat,
• okres przechowywania danych osobowych związanych z realizacją umów – do czasu przedawnienia roszczeń z tytułu prowadzonej działalności gospodarczej, tj. co do zasady 3 lata,
• okres przechowywania danych związanych z obsługą księgową (faktury, rachunki) – 5 lat licząc od początku roku następującego po roku obrotowym, którego dane dotyczą, a w przypadku odnotowania straty, okres ten może ulec wydłużeniu o ilość lat, w których strata była rozliczana (maksymalnie 5 lat); natomiast w przypadku dokumentów księgowych związanych z amortyzowanym środkiem trwałym, nie mogą zostać one usunięte przed zakończeniem okresu amortyzacji,
• dane osobowe przetwarzane z uwagi na ich niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora w postaci marketingu bezpośredniego – do czasu wniesienia sprzeciwu względem przetwarzania danych w tym celu przez osobę, które dane dotyczą,
  dane osobowe przetwarzane wyłącznie na podstawie zgody osoby, której dane dotyczą – do czasu cofnięcia udzielonej zgody oraz o ile Administrator nie będzie posiadał innej przesłanki legalizującej dalsze przetwarzanie danych osobowych przez niego.

Poza tym istotne jest aby oszacować okres przechowywania danych już w chwili ich
pozyskania i poinformować zainteresowane osoby o przewidywanym okresie ich
przechowywania. Jeśli z różnych przyczyn, Administrator nie jest w stanie powiedzieć
wprost, jaki jest okres przetwarzania danych, powinien wskazać kryteria ustalania tego
okresu – np. wykonanie umowy.

W jakich dokumentach wskazuje się okresy retencji?

Jeżeli już mamy określone okresy retencji dla danych, które przetwarzamy to należy jeszcze:

• wpisać te okresy do klauzuli informacyjnej przekazywanej osobie, której dane są przetwarzane, bo ma prawo wiedzieć, jak długo będziesz przechowywać jej dane,
• wpisać okresy retencji do rejestru czynności przetwarzania danych osobowych, co umożliwi ich bieżącą kontrolę,
• jeżeli firma nie zatrudnia Inspektora Ochrony Danych to należy wyznaczyć osobę odpowiedzialną za pilnowanie przestrzegania nowych przepisów, w tym okresów retencji, tak aby żadnego z nich nie pominąć.

Obowiązek Administratora – przygotowanie i wdrożenie PROCEDURY RETENCJI DANYCH

Dlaczego ustalenie odpowiednich zasad retencji, a następnie ich respektowanie jest takie ważne?

Na Administratorze ciąży obowiązek realizowania praw właścicieli danych m.in. obowiązku informacyjnego ( RODO art. 13-15) oraz art. 17 jeżeli osoba, której dane dotyczą – w określonych przypadkach – zażąda „bycia zapomnianym”. W przypadku
takiego wniosku ADO musi dokonać ich usunięcia bez zbędnej zwłoki. Jednak, aby zrealizować taki obowiązek musi mieć wiedzę czy dana osoba jest w jego bazie, co w
przypadku klientów/kontrahentów z przed wielu lat może stanowić logistyczny problem zwłaszcza jeżeli jest do dyspozycji tylko baza papierowa, a jedyna osoba, która
wiedziała co kryje się w pudłach z papierami, odeszła na zasłużona emeryturę.

Podkreślam jeszcze raz możemy przechowywać dane jedynie tak długo, jak długo są nam potrzebne do celów w których je zebraliśmy. Po tym okresie powinniśmy je trwale
usunąć – zarówno jeżeli chodzi o dane papierowe, jak i elektroniczne. Trwale? tzn. w taki sposób, aby niemożliwe było ich odtworzenie. W przypadku wersji papierowej,
należy skorzystać z niszczarki. Natomiast w przypadku elektronicznych nośników warto skorzystać ze specjalistycznego oprogramowania do usuwania danych.

Każdy z nas, na pewno niejednokrotnie, spotkał się ze stwierdzeniem „Nie wyrzucaj tego dokumentu, może się jeszcze na coś przydać”. W rezultacie, w firmach przechowywanych jest mnóstwo archiwalnych dokumentów. Takie podejście, oprócz tego, że powoduje zapychanie szuflad i szaf naraża nas także na ryzyko naruszenia przepisów o ochronie danych osobowych. Przedsiębiorcy skupili się głównie na elektronicznym obiegu dokumentów, zapominając o papierowych archiwach gdzie jest wiele przeterminowanej dokumentacji zawierającej dane osobowe klientów.

A przecież, takie same reguły wynikające z RODO dotyczą zarówno cyfrowych, jak i papierowych dokumentów, których nie można przechowywać w nieskończoność. Skalę problemu obrazuje informacja przekazana przez jedną z firm zajmującej się archiwizacją i digitalizacją dokumentów, iż w ciągu ostatniego roku uporządkowała
archiwa liczące 100 mln dokumentów i okazało się, że przeszło 40 mln z nich było już dawno przeterminowanych. Były to nie tylko umowy zawierane przed laty z klientami, różnego rodzaju programy lojalnościowe czy zgody marketingowe, ale również dane szczególnej kategorii zawarte w dokumentacji medycznej. Zarządzanie papierową dokumentacją to też duże wyzwanie na przyszłość, bo po wejściu w życie nowych przepisów o ochronie danych osobowych i powszechnej cyfryzacji dokumentów, papierowe archiwa zamiast chudnąć tylko puchną.

Dlatego wielu przedsiębiorców podejmuje teraz ogromny wysiłek i porządkuje papierowe dokumenty, segreguje je ze względu na okres przechowywania i zakłada im
tzw. klucze rejestracyjne, które pozwalają później na szybkie odnalezienie w elektronicznym systemie papierowych dokumentów, by móc je zniszczyć, gdy przyjdzie
na to czas. Takie działanie może się okazać w przyszłości bezcenne. Jeżeli mamy sytuację , w której dany przedsiębiorca nie dokonuje regularnego
przeglądu i usunięcia danych przez kilkadziesiąt lat, oznacza to,, że ma w swoich zasobach dane klientów, kontrahentów i dostawców, których nie powinien już
posiadać. W przypadku utraty tych danych, np. wyciek, problem mógłby dotyczyć wielu podmiotów, co oznaczałoby konieczność podjęcia określonych w RODO działań,
w tym powiadomienia organu nadzorczego i osób, których dane ujawniono.

W takiej sytuacji możemy się spodziewać sankcji ze strony UODO oraz roszczeń, w tym odszkodowawczych, ze strony właścicieli danych. Przy wdrożeniu procedury usuwania danych mogą się pojawić liczne problemy natury praktycznej. W firmach funkcjonuje często tzw. szara strefa danych osobowych. Stanowią ją zazwyczaj dane zapisane lub wydrukowane w celu wykonania roboczych operacji czy prezentacji. Są też maile, zestawiania tabelaryczne, czy informacje przechowywane na pen drive lub wydrukach.

Innym istotnym problemem może być brak precyzyjnej mapy danych osobowych i niemożność ich zlokalizowania. Wtedy może okazać się, że przyjęta Procedura Retencji Danych jest dość iluzoryczna, a zakres danych, nad którymi nie mamy żadnej kontroli osiąga niepokojący poziom. Dla większych podmiotów wyzwaniem może być także przystosowanie systemów informatycznych do wymogów określonych w procedurze.

Należy pamiętać, że niektóre systemy nie pozwalają np. na całkowite usuniecie profilu użytkownika, inne zachowują informacje o danych, które zostały nadpisane.
Prawda, że ta retencja to nic strasznego? Musisz tylko określić jakie dane przetwarzasz, w jakich celach je przetwarzasz, dopasować do nich maksymalne okresy ich przetwarzania oraz skutecznie eliminować „zbędne lub przeterminowane” dane osobowe. Pamiętajmy że Biznes lubi spokój, a ryzyko potencjalnej kary tego spokoju nie gwarantuje.