Jak długo przechowywać dane osobowe w rejestrach RODO? #RODOFAQ

Ustalanie okresów retencji dla danych osobowych, czyli okresów ich przechowywania, to jedno z tych zagadnień RODO, które budzi wiele wątpliwości. Nie inaczej jest w przypadku przechowywania danych osobowych w różnego rodzaju rejestrach, ewidencjach, jakie administratorzy prowadzą dla wykazania zgodności swoich działań z wymogami RODO. Dla uproszczenia, na potrzeby tego artykułu takie rejestry będą zwane „rejestrami RODO”.

Rejestry RODO zawierające dane osobowe

Takimi rejestrami RODO będą np. rejestry:

  • wniosków o sprawie realizacji praw z art. 15–22 RODO,
  • naruszeń ochrony danych osobowych,
  • pracowników, którzy brali udział w szkoleniach z zakresu RODO,
  • pracowników, którym administrator nadał upoważnienia do przetwarzania danych osobowych.

Każdy z takich rejestrów może zawierać dane osobowe. Mogą w nich być dane klientów, potencjalnych klientów czy też pracowników lub współpracowników. Danymi wpisywanymi do rejestrów RODO będą najczęściej imiona, nazwiska, adresy e-mail, numery wewnętrzne pracowników.

Okres retencji w rejestrach RODO

Skoro w rejestrach RODO znajdują się dane osobowe, powstaje pytanie, jak długo powinny być one przechowywane. Najlepiej przenalizować to na konkretnym przypadku.

Przykładowo, administrator prowadzi rejestr wniosków w sprawie realizacji praw z art. 15–22 RODO. W rejestrze takim wpisuje informacje takie, jak określenie osoby składającej wniosek (imię i nazwisko, a w przypadku osób wysyłających wnioski drogą elektroniczną także adres e-mail), data wpływu wniosku, treść wniosku (rodzaj prawa, z którego osoba chce skorzystać), data i treść odpowiedzi / sposób realizacji prawa. Rejestr taki administrator prowadzi od początku stosowania przepisów RODO, tj. 25.05.2018 r. Pierwszy wniosek o realizację prawa, dotyczący usunięcia danych w bazie marketingowej, otrzymał 01.06.2018 r. i tego samego dnia wpisał go do rejestru.

Jakie okresy retencji wynikają z RODO?

Czy obecnie, po ponad 4 latach, ten wpis oraz dane osobowe dotyczące osoby zgłaszającej żądanie administrator powinien dalej przetwarzać (przechowywać), czy może wręcz przeciwnie – powinien je już usunąć?

Przepisy RODO nie dają odpowiedzi na tak postawione pytanie. RODO nie ustala okresów przechowywania danych także dla innych procesów przetwarzania. Przepisy rozporządzenia formułują jedynie ogólną zasadę, zgodnie z którą dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Tak stanowi jedna z ogólnych zasad RODO – zasada ograniczenia przechowywania danych (art. 5 ust. 1 lit. e RODO).

Administrator musi więc sam ustalić, jaki okres przechowywania danych będzie odpowiedni dla celu, dla którego zebrał i przechowuje dane w rejestrach RODO. Kluczowe będzie więc zdefiniowanie celu, dla którego administrator prowadzi takie rejestry.

Dlaczego powinniśmy przechowywać dane w rejestrach RODO?

Podstawowym celem prowadzenia rejestrów RODO będzie realizacja zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie ogólnych zasad RODO, tj. zasady zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania oraz integralności i poufności.

Opisany w przykładzie wyżej rejestr wniosków w sprawie realizacji praw administrator prowadzi m.in. po to, aby móc wykazać, kiedy, od kogo i jaki wniosek otrzymał, a także kiedy i w jaki sposób go zrealizował, np. usunął dane lub w przypadku, gdy odmówił ich usunięcia, czy i w jaki sposób wyjaśnił przyczyny takiej odmowy. Szczególnie ważne jest odnotowanie daty otrzymania wniosku oraz daty realizacji prawa i udzielenia odpowiedzi, gdyż przepisy RODO, a konkretnie art. 12 ust. 3 RODO wymagają, aby takie działania zostały podjęte w ściśle określonym terminie  1 miesiąc, licząc od daty otrzymania żądania w sprawie realizacji prawa.

Prowadzenie rejestru wniosków w sprawie realizacji praw z art. 15–22 RODO będzie więc przede wszystkim narzędziem służącym do wykazania (udowodnienia), że przetwarzanie danych w ramach procesu realizacji takich żądań jest prowadzone zgodnie z prawem, a więc zgodnie z zasadą legalności.

Tego rodzaju rejestr nie będzie jedynym ani też najważniejszym potwierdzeniem, że administrator obsłużył żądanie oraz że zrobił to w terminie. Znacznie ważniejszymi dowodami będą w tym przypadku np. treść otrzymanego maila z żądaniem oraz treść i data udzielonej odpowiedzi, zapis z logów systemowych potwierdzający usunięcie danych. Rejestr oraz zawarte w nim informacje będą miały jednak ważne znaczenie ewidencyjne i porządkowe, umożliwiające szybkie dotarcie do prowadzonej korespondencji i podejmowanych przez administratora działań.

Jakie okresy retencji wynikają z krajowych przepisów?

W tym miejscu pojawia się kolejna wątpliwość, czyli pytanie o to, jak długo administrator powinien przechowywać dokumenty (dowody) potwierdzające, że podejmowane przez niego działania były zgodne z zasadami RODO. Niestety, przepisy RODO nie dostarczą nam odpowiedzi także na to pytanie. Ważną wskazówkę znajdziemy jednak w krajowych przepisach o ochronie danych osobowych. Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. określa m.in. tryb postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, a w zakresie w niej nieuregulowanym do prowadzenia postępowań administracyjnych przed Prezesem UODO odsyła do przepisów Kodeksu postępowania administracyjnego (art. 7 ust. 1 tej ustawy).

Wspomniany Kodeks postępowania administracyjnego (KPA) reguluje m.in. kwestię terminu przedawnienia możliwości nałożenia administracyjnej kary pieniężnej. Zgodnie z art. 189g § 1 KPA administracyjna kara pieniężna nie może zostać nałożona, jeżeli upłynęło pięć lat od dnia naruszenia prawa albo wystąpienia skutków naruszenia prawa. Skoro więc organ administracji publicznej – Prezes UODO – nie może nałożyć administracyjnej kary pieniężnej po upływie wskazanego wyżej terminu pięciu lat, można go traktować jako pewien punkt odniesienia do określenia terminów retencji związanych z przechowywaniem danych osobowych w rejestrach RODO.

wsparcie przy RODO naruszeniu

Wsparcie przy ustalaniu okresów retencji

Jeśli nie czujesz się na siłach, żeby samodzielnie ustalić okresy przetwarzania danych osobowych w Twojej firmie, czy organizacji – skorzystaj z naszej pomocy! Nasi doświadczeni eksperci pomogą Ci uporać się z każdym RODO-problemem.

Sprawdź

Podsumowanie

Prowadzenie rejestrów RODO w praktyce bardzo często będzie się wiązało się z przetwarzaniem danych osobowych, a tym samym także z koniecznością ustalenia właściwych okresów retencji dla przechowywanych w nich danych. Okres ten powinien być zawsze wyznaczany, biorąc pod uwagę cel, dla którego prowadzone są takie rejestry. Najczęściej celem takim będzie realizacja zasady rozliczalności, czyli wykazanie przestrzegania ogólnych zasad RODO. Administratorzy muszą więc przede wszystkim mieć na uwadze terminy związane z możliwością kontrolowania ich działań z punktu widzenia zgodności przepisami RODO, w tym nakładania administracyjnych kar pieniężnych za stwierdzone naruszenia.

 

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

10 najczęstszych RODO błędów na stronie internetowej
rodo faq
Szkolenia RODO – jak skutecznie budować świadomość ochrony danych osobowych?
Jak zarejestrować IOD? Czyli wypełnianie e-formularza zawiadomienia UODO krok-po-kroku

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO