Jak długo mogą być przechowywane dane osobowe?

Gromadzenie informacji o klientach, pracownikach czy kontrahentach to nieodłączny element funkcjonowania współczesnych organizacji. Okazuje się jednak, że równie istotna jak samo zbieranie danych jest kwestia tego, przez jaki okres można je legalnie przechowywać. Przepisy RODO nie pozostawiają w tej kwestii swobody – wprowadzają bowiem jasną zasadę, która chroni prywatność osób fizycznych przed nadmiernym magazynowaniem informacji na ich temat.

Zasada ograniczenia przechowywania – fundament ochrony prywatności

Fundamentem prawnej ochrony informacji jest reguła, którą można określić mianem czasowego ograniczenia retencji. Artykuł 5 ustęp 1 litera e Rozporządzenia o RODO wyraźnie stwierdza: dokumentacja dotycząca konkretnych osób może pozostawać w posiadaniu administratora jedynie tak długo, jak długo jest to faktycznie potrzebne do zrealizowania zamierzonych przez niego celów.

Co to oznacza w praktyce? Przede wszystkim to, że administrator nie może tworzyć "wiecznych" baz danych, w których informacje o osobach przechowywane są bez określonego terminu. Każde przetwarzanie musi mieć jasno określony cel oraz precyzyjnie wyznaczony horyzont czasowy, po którego upływie dane powinny zostać usunięte lub zanonimizowane.

Warto podkreślić, że RODO nie narzuca konkretnych terminów – to administrator sam musi określić odpowiednie okresy retencji, biorąc pod uwagę specyfikę swojej działalności oraz obowiązujące przepisy szczególne. Nie da się ukryć, że wymaga to pewnej dozy analitycznego myślenia i znajomości regulacji branżowych.

Jak ustalić właściwy okres retencji danych?

Określenie czasu magazynowania informacji osobowych nie jest zadaniem prostym. Administrator musi wziąć pod uwagę szereg czynników, wśród których najważniejsze to:

• Cel przetwarzania – to podstawowe kryterium. Jeżeli zbieramy dane w celu realizacji konkretnej transakcji, ich przechowywanie powinno zakończyć się wraz z finalizacją tej transakcji (chyba że inne przepisy stanowią inaczej).
• Przepisy szczególne – wiele branż podlega regulacjom, które wprost określają minimalne okresy archiwizacji dokumentacji. Przykładowo, dokumentacja księgowa musi być przechowywana przez 5 lat zgodnie z ustawą o rachunkowości, a akta pracownicze – przez 10 lat od zakończenia zatrudnienia (dla osób zatrudnionych od 1 stycznia 2019 roku).
• Podstawa prawna – sposób pozyskania danych ma znaczenie dla okresu ich przechowywania. Gdy podstawą jest zgoda osoby, jej wycofanie obliguje do natychmiastowego usunięcia informacji. Gdy dane przetwarzane są w ramach wykonania umowy lub obowiązku prawnego – terminy mogą być inne.

Kontrowersyjna kwestia – przetwarzanie danych "na zapas"

Szczególnie gorącym tematem w ostatnich latach stało się przechowywanie informacji "na wypadek ewentualnych roszczeń". Wielu przedsiębiorców, obawiając się przyszłych sporów prawnych, magazynowało dane swoich byłych klientów przez lata – powołując się na terminy przedawnienia roszczeń wynoszące od 3 do 6 lat.

Stanowisko Prezesa UODO w tej sprawie jest jednak jednoznaczne: przetwarzanie danych osobowych wyłącznie na wypadek potencjalnych, nieistniejących jeszcze roszczeń, nie jest zgodne z RODO. Organ nadzorczy argumentuje, że skoro żadne konkretne roszczenie nie zostało zgłoszone, brak jest podstaw do dalszego magazynowania informacji.

Jak długo mogą być przechowywane dane osobowe? | Podsumowanie

Odpowiedzialne gospodarowanie czasem retencji informacji o osobach fizycznych stanowi nie tylko wymóg regulacyjny, lecz przede wszystkim manifestację poszanowania dla sfery prywatnej tych, których dokumentacja dotyczy. Lekceważenie norm dotyczących terminów archiwizacji pociąga za sobą dotkliwe reperkusje – począwszy od sankcji finansowych wymierzanych przez organ nadzorczy, a skończywszy na żądaniach kompensaty zgłaszanych przez osoby pokrzywdzone.

Jeżeli prowadzisz firmę i chcesz mieć pewność, że stosowane przez Ciebie okresy przechowywania danych są zgodne z obowiązującymi przepisami – zgłoś się do Poznań RODO. Specjalizujemy się w audytach zgodności z RODO oraz doradztwie w zakresie właściwego zarządzania danymi osobowymi w organizacjach.