Retencja danych osobowych w firmie – na czym polega? jak często musi być przeprowadzana? Zapraszamy do zapoznania się z podstawowymi informacjami nt. retencji danych.
Artykuł 5 ustęp 1 litera e RODO nakłada na każdego przedsiębiorcę obowiązek przechowywania danych osobowych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą.
Jaki jest cel retencji danych?
Obowiązek usunięcia danych w momencie utraty celu ich przetwarzania jak widać może nie-kiedy rodzić określone problemy praktyczne. Wymaga też cyklicznej, minimum corocznej analizy zasadności usunięcia poszczególnych kategorii danych osobowych. Sama retencja tych danych ma jednak jedną podstawową zaletę. Pozwala bowiem na zmniejszenie ryzyk związanych z ich potencjalnym ujawnieniem.
Przykładowo wskazać można na sytuację, w której dany przedsiębiorca nie dokonuje regularnego przeglądu i usunięcia danych przez kilkadziesiąt lat. Ma więc w swoich systemach i aktach dane klientów, kontrahentów i dostawców, których nie powinien już posiadać. W przypadku utraty tych danych, wyciek taki mógłby dotyczyć wielu podmiotów, co oznaczałoby konieczność podjęcia określonych w RODO działań, w tym powiadomienia organu nadzorczego i osób, których dane ujawniono. Osoby takie, wobec faktu, że ich dane osobowe nie powinny być już przechowywane, miałby możliwość zgłaszania roszczeń, w tym odszkodowawczych, przeciwko przedsiębiorcy. Ewentualna odpowiedzialność majątkowa mogłaby wynikać także z kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych.
Retencja danych – obowiązki przedsiębiorcy!
Zasada ograniczonego przechowywania danych osobowych nakłada więc na każdego przedsiębiorcę obowiązek okresowej weryfikacji, czy jest on w stanie wykazać dalsze istnienie celu uzasadniającego przechowywanie danych osobowych. Każda kategoria danych osobowych powinna więc mieć określony z góry okres ich przechowywania. Okres ten zależny jest od celu, w jakim dane osobowe są przetwarzane.
Przechowywanie akt pracowniczych i monitoringu
Przykładem mogą być tutaj przepisy prawa dotyczące przechowywania akt pracowniczych, czy zapisów nagrań z monitoringu wizyjnego. Okres przechowywania danych osobowych często wynikać może także z przepisów dotyczących przedawnienia roszczeń. Tak długo bo-wiem, jak okres przedawnienia nie upłynął, przedsiębiorca ma cel w pozostawieniu dokumentacji i przetwarzania w ten sposób danych osobowych. Zaznaczyć trzeba, że chodzi tu zarówno o potencjalne roszczenia samego przedsiębiorcy, jak i roszczenia, które mogą zostać zgłoszone przeciwko niemu (np. wynikające z obowiązków podatkowych względem organów państwowych).
Kiedy warto pomyśleć o retencji danych?
Nowy rok to dobra okazja, żeby przeprowadzić w firmie audyt w zakresie retencji danych osobowych. Przy zachowaniu założeń wskazywanych powyżej powinniśmy przeprowadzić analizę zasadności usunięcia danych należących do różnych kategorii. W przeciwnym razie narażamy się bowiem na ryzyko naruszenia przepisów RODO, co może skutkować dotkliwymi karami administracyjnymi i potencjalną odpowiedzialnością odszkodowawczą.
[/vc_column_text][/vc_column][/vc_row]