RODO weszło w życie 25 maja 2018 roku. Wprowadziło wiele zmian w krajowych przepisach o ochronie danych osobowych. Jedną z nich jest retencja danych osobowych.
Dane osobowe można przechowywać jedynie przez ściśle określony czas
Kwestie związane z retencją danych osobowych zostały uregulowane w artykule 5 RODO. Zgodnie z nim dane osobowe mogą być zbierane wyłącznie w jasno określonym i prawnie uzasadnionym celu. Do tego ich dalsze przetwarzanie nie może odbywać się w sposób, który z tymi celami jest niezgodny. W momencie, gdy proces przetwarzania danych zostanie zakończony, dane te należy usunąć. Dane te mogą zostać także zanonimizowane. Oznacza to, że należy nadać im formę, która uniemożliwi identyfikację osoby, które dane dotyczą. Istnieje także możliwość przekazania ich podmiotowi, które w świetle ustawy został uprawniony do ich przejęcia od administratora. Przykładem takiego postępowania jest przekazywanie dokumentów do archiwum państwowego.
Retencja danych osobowych obowiązkiem ich administratora
Na administratorze danych osobowych ciąży wiele obowiązków. Jednym z nich jest obowiązek informacyjny. Jest on ściśle powiązany z retencją danych osobowych. Administrator danych osobowych powinien więc regularnie nadzorować zawartość zbiorów. Tylko w ten sposób może sprawdzić, czy udzielone mu upoważnienie do przetwarzania pewnych danych w dalszym ciągu jest aktualne, czy dane muszą zostać bezzwłocznie zostać usunięte. Osoba, która pełni obowiązki administratora danych osobowych powinna więc:
-określić okres przez jaki dane osobowe będą przechowywane;
-udzielić informacji zainteresowanej osobie, jak długo dotyczące jej dane będą przechowywane.
W sytuacji, gdy administrator nie jest w stanie określić konkretnie, jaki będzie okres przechowywania danych, powinien podać kryteria na podstawie, których okres ten jest ustalany. Może to być przykładowo dzień wygaśnięcia zawartej umowy. Dane osobowe muszą zostać usunięte, gdy:
-osiągnięty został cel, który wymagał przetwarzania danych;
-wygasł okres ich przydatności.
Procedura retencji danych osobowych powinna obejmować nie tylko fizyczne zniszczenie dokumentacji, ale także nośników i sprzętu, które zawierają dane osobowe. Procedura ta obejmuje także usunięcie danych z systemów.
Procedura usuwania danych osobowych jest obowiązkiem, który wynika z artykułu 5 RODO. Rozporządzenie to nie określa jak i kiedy dane te muszą zostać usunięte. Mimo to zaleca się, aby okres przechowywania danych osobowych był ograniczony do niezbędnego minimum.
Monika Zygmunt - Jakuć (Inspektor Ochrony Danych)