Prawidłowa retencja danych osobowych stwarza liczne problemy w praktyce. Wiele organizacji niechętnie pozbywa się danych, wychodząc z założenia, że zawsze mogą się one do czegoś przydać w przyszłości, nawet jeśli w danym momencie wydają się one niepotrzebne.
Retencja Danych Osobowych
Warto mieć jednak na uwadze, że niedostosowanie organizacji do wymogów związanych z retencją danych osobowych może prowadzić do poważnych konsekwencji, w tym do nałożenia administracyjnej kary pieniężnej przez Prezesa UODO. Przepisy dotyczące obowiązku przechowywania danych w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, obowiązywały jeszcze przed wejściem w życie ogólnego rozporządzenia o ochronie danych (RODO).
Wydaje się, że w dużych organizacjach świadomość obowiązków związanych z retencją danych osobowych stoi obecnie na dość wysokim poziomie, co nie oznacza, że organizacje te nie mierzą się z licznymi praktycznymi problemami w tym zakresie. Z drugiej strony w praktyce nadal zdarza się niestety, że niektórzy administratorzy danych (w szczególności małe lub średnie przedsiębiorstwa) ze zdziwieniem reagują, gdy dowiadują się, że dane osobowe, które przetwarzają w związku z prowadzoną działalnością, powinny być okresowo usuwane lub anonimizowane w przypadku, gdy ustał cel ich przetwarzania.
Zdecydowana większość podmiotów, które przetwarzają dane osobowe w ramach prowadzonej działalności, ma świadomość obowiązku ich odpowiedniego zabezpieczenia, zwłaszcza przed ich udostępnieniem osobom nieuprawnionym, jednak jeśli chodzi o obowiązek zapewnienia retencji danych, świadomość ta nie jest już tak powszechna. Wprowadzenie zmian w tym zakresie wymaga przez to nie tylko zmiany sposoby myślenia w danej organizacji, ale także przeprojektowania wielu funkcjonujących procesów związanych z przetwarzaniem danych osobowych.
Okres retencji danych
Obowiązek okresowego usuwania lub anonimizacji danych osobowych wynika obecnie z art. 5 ust 1 lit e RODO, zgodnie z którym dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane (zasada ograniczonego przechowywania danych).
Dłuższe przechowywanie danych jest dopuszczalne wyłącznie przy spełnieniu warunków określonych w tym przepisie (np. przy przetwarzaniu danych do celów archiwalnych w interesie publicznym, o ile wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane przez RODO w celu ochrony praw i wolności osób, których dane dotyczą).
Zgodnie z motywem 39 RODO, aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Administrator danych musi zatem ustalić, przez jaki okres może przetwarzać dane osobowe w określonym celu oraz jakie czynności musi podjąć po upływie tego okresu.
Polityka retencji danych osobowych
RODO nie wprowadza obowiązku opracowania konkretnego rodzaju dokumentacji dotyczącej retencji danych osobowych. W praktyce trudno jednak wyobrazić sobie, aby bez wdrożenia polityki retencji danych osobowych możliwe było sprawne zarządzanie retencją danych osobowych w organizacji. W związku z tym potrzeba posiadania odpowiedniej dokumentacji w zakresie retencji danych osobowych wynika pośrednio z art. 24 ust. 2 RODO, a także z obowiązku wykazania przez administratora danych rozliczalności (art. 5 ust. 2 RODO).
Dla zapewnienia prawidłowej retencji danych osobowych w pierwszej kolejności niezbędne jest zidentyfikowanie wszystkich procesów przetwarzania danych osobowych funkcjonujących w danej organizacji. W przeciwnym razie wdrożenie polityki lub procedur w zakresie retencji danych osobowych okaże się nieskuteczne.
Dla potrzeb ustalenia prawidłowych okresów przechowywania danych osobowych oraz faktycznego stosowania zasad retencji danych osobowych każdy administrator danych powinien mieć zatem świadomość:
- Jakie dane osobowe przetwarza (w tym jakich kategorii osób one dotyczą i jaki jest ich rodzaj/zakres);
- Jakie cele przetwarzania danych są realizowane w ramach poszczególnych procesów przetwarzania danych;
- Jakie przepisy prawa znajdują zastosowanie do przechowywania danych w odniesieniu do konkretnych celów przetwarzania, a w szczególności czy przepisy te określają dopuszczalny okres przechowywania danych;
- Jakie rozwiązania wykorzystywane są do przetwarzania, w tym przechowywania danych osobowych (np. systemy informatyczne, aplikacje mobilne, archiwa papierowe itp.).
Okresowe usuwanie danych osobowych
Warto przy tym pamiętać, że wdrożenie systemu zarządzania retencją danych osobowych to dopiero pierwszy krok, który jest niezbędny dla zapewnienia zgodności z wymogami w zakresie okresowego usuwania lub anonimizacji danych osobowych, co do których upłynął okres ich przechowywania.
Kolejnym krokiem jest bieżące utrzymanie tego systemu, w tym jego okresowe testowanie, weryfikowanie i aktualizowanie. Wraz z upływem czasu zmianie mogą ulegać m.in. dopuszczalne okresy przechowywania danych (np. w związku ze zmianą przepisów prawa). W trakcie funkcjonowania organizacji mogą być wprowadzane nowe rozwiązania służące do przetwarzania danych osobowych, co wymaga każdorazowej weryfikacji pod kątem zgodności z wymogami w zakresie retencji danych osobowych.
Niestety, tak jak zostało już wspomniane, nadal wielu administratorów danych albo w ogóle pomija kwestie retencji danych osobowych, albo ogranicza się w tym zakresie do wprowadzenia rozwiązań o charakterze formalnoprawnym (np. wprowadzenia polityki retencji, określenia okresów retencji w rejestrze czynności przetwarzania itp.), które w praktyce nie są następnie stosowane lub są stosowane jedynie w ograniczonym zakresie.
Równie istotne, jak wprowadzenie rozwiązań formalnoprawnych jest także zapewnienie odpowiednich narzędzi i mechanizmów, które umożliwią faktyczne stosowanie zasad retencji poprzez usuwanie lub anonimizowanie danych. Wszelkie tego typu rozwiązania powinny być projektowane przy tym z dużą uwagą. Konieczne jest uwzględnienie specyfiki danej organizacji i jej potrzeb w zakresie przechowywania danych osobowych. Zbyt pochopne usuwanie danych osobowych może bowiem w niektórych przypadkach prowadzić do negatywnych i nieodwracalnych konsekwencji (np. w przypadku wystąpienia z roszczeniami wobec administratora danych przez osobę, której dane dotyczą).
Informacja o przechowywaniu danych osobowych
Warto przy tym pamiętać, że informacja o okresach przechowywania danych powinna znaleźć się w klauzuli obowiązku informacyjnego, którą należy przekazać podmiotowi danych (art. 13 ust. 2 lit. a RODO/ art. 14 ust. 2 lit a RODO).
Uwzględnienie okresów przechowywania danych powinno mieć miejsce także przy prawidłowym projektowaniu nowych procesów związanych z przetwarzaniem danych osobowych, a także przy wdrażaniu odpowiednich środków technicznych i organizacyjnych, które powinny odnosić się do okresu przechowywania i dostępności danych.
Wreszcie informacja o planowanych terminach usunięcia poszczególnych kategorii danych (o ile jest to możliwe) powinna znaleźć się w rejestrze czynności przetwarzania danych.
Retencja danych osobowych RODO
Właściwa retencja danych osobowych jest zatem niezbędna przede wszystkim, aby zapewnić zgodność z wymogiem dotyczącym ograniczenia przechowywania danych (art. 5 ust. 1 lit. f RODO). Zgodnie z RODO, co do zasady, niedopuszczalne jest przechowywanie danych osobowych w formie umożliwiającej identyfikację osoby, której dane dotyczą po ustaniu celu przetwarzania tych danych.
Ponadto zapewnienie retencji danych osobowych jest potrzebne, aby zapewnić zgodność z innymi wymogami wynikającymi z RODO, w tym obowiązkami w zakresie informowania podmiotów danych o okresach przechowywania ich danych (art. 13/14 RODO), obowiązkami związanymi z uwzględnieniem ochrony danych w fazie projektowania oraz domyślnej ochrony danych (art. 24 RODO), czy obowiązkiem prowadzenia rejestru czynności przetwarzania (art. 30 ust. 1 RODO).
W tym celu niezbędne może być także wdrożenie odpowiednich polityk ochrony danych (art. 24 ust. 2 RODO).
Wyciek danych osobowych – konsekwencje prawne
Poza tym negatywne konsekwencje związane z brakiem zapewnienia właściwej retencji danych osobowych mogą nieoczekiwanie pojawić się w sytuacji, w której wystąpi naruszenie ochrony danych osobowych, zwłaszcza polegające na nieuprawnionym ujawnieniu lub nieuprawnionym dostępie do danych osobowych.
Jeśli okaże się, że wyciek danych osobowych obejmuje dane, których administrator w ogóle nie powinien przetwarzać może to skutkować większą skalą naruszenia, w porównaniu do sytuacji, w której część danych zostałaby usunięta we właściwym czasie. Jeśli organ nadzorczy zauważy, że administrator przechowywał dane, które powinny zostać usunięte może być to podstawą do wszczęcia postępowania administracyjnego i nałożenia administracyjnej kary pieniężnej z uwagi na naruszenie 5 ust. 1 lit. f RODO, niezależnie od kwestii związanych z weryfikacją stosowania odpowiednich środków technicznych i organizacyjnych mających zapewnić zabezpieczenie danych przed ich ujawnieniem osobom nieuprawnionym.
Ponadto wystąpienie takiej sytuacji może skutkować dodatkowymi roszczeniami cywilnoprawnymi, kierowanymi przez osoby, których dane dotyczą, które w ogóle by się nie pojawiły, gdyby dane osobowe w odpowiednim momencie zostały usunięte.
Retencja Danych Osobowych — Podsumowanie
Wprowadzenie i utrzymanie systemu zarządzania retencją danych osobowych nie jest zadaniem łatwym, jest ono jednak niezbędne dla zapewnienia zgodności z obowiązkami wynikającymi z przepisów RODO przez każdego administratora danych, który przetwarza dane osobowe w ramach prowadzonej działalności.
Jeśli jesteś zainteresowany wsparciem przy określaniu zasad retencji danych osobowych (w tym wsparciem przy ustaleniu okresów retencji danych osobowych, opracowaniem polityk lub procedur retencji danych osobowych) zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą audytową i wdrożeniową oraz ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.