rodo faq
#RODOFAQPoradniki

Jak długo przechowywać dane osobowe w rejestrach RODO? #RODOFAQ

22 cze 2022
0

Ustalanie okresów retencji dla danych osobowych, czyli okresów ich przechowywania, to jedno z tych zagadnień RODO, które budzi wiele wątpliwości. Nie inaczej jest w przypadku przechowywania danych osobowych w różnego rodzaju rejestrach, ewidencjach, jakie administratorzy prowadzą dla wykazania zgodności swoich działań z wymogami RODO. Dla uproszczenia, na potrzeby tego artykułu takie rejestry będą zwane „rejestrami RODO”.

Rejestry RODO zawierające dane osobowe

Takimi rejestrami RODO będą np. rejestry:

  • wniosków o sprawie realizacji praw z art. 15–22 RODO,
  • naruszeń ochrony danych osobowych,
  • pracowników, którzy brali udział w szkoleniach z zakresu RODO,
  • pracowników, którym administrator nadał upoważnienia do przetwarzania danych osobowych.

Każdy z takich rejestrów może zawierać dane osobowe. Mogą w nich być dane klientów, potencjalnych klientów czy też pracowników lub współpracowników. Danymi wpisywanymi do rejestrów RODO będą najczęściej imiona, nazwiska, adresy e-mail, numery wewnętrzne pracowników.

Okres retencji w rejestrach RODO

Skoro w rejestrach RODO znajdują się dane osobowe, powstaje pytanie, jak długo powinny być one przechowywane. Najlepiej przenalizować to na konkretnym przypadku.

Przykładowo, administrator prowadzi rejestr wniosków w sprawie realizacji praw z art. 15–22 RODO. W rejestrze takim wpisuje informacje takie, jak określenie osoby składającej wniosek (imię i nazwisko, a w przypadku osób wysyłających wnioski drogą elektroniczną także adres e-mail), data wpływu wniosku, treść wniosku (rodzaj prawa, z którego osoba chce skorzystać), data i treść odpowiedzi / sposób realizacji prawa. Rejestr taki administrator prowadzi od początku stosowania przepisów RODO, tj. 25.05.2018 r. Pierwszy wniosek o realizację prawa, dotyczący usunięcia danych w bazie marketingowej, otrzymał 01.06.2018 r. i tego samego dnia wpisał go do rejestru.

Jakie okresy retencji wynikają z RODO?

Czy obecnie, po ponad 4 latach, ten wpis oraz dane osobowe dotyczące osoby zgłaszającej żądanie administrator powinien dalej przetwarzać (przechowywać), czy może wręcz przeciwnie – powinien je już usunąć?

Przepisy RODO nie dają odpowiedzi na tak postawione pytanie. RODO nie ustala okresów przechowywania danych także dla innych procesów przetwarzania. Przepisy rozporządzenia formułują jedynie ogólną zasadę, zgodnie z którą dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Tak stanowi jedna z ogólnych zasad RODO – zasada ograniczenia przechowywania danych (art. 5 ust. 1 lit. e RODO).

Administrator musi więc sam ustalić, jaki okres przechowywania danych będzie odpowiedni dla celu, dla którego zebrał i przechowuje dane w rejestrach RODO. Kluczowe będzie więc zdefiniowanie celu, dla którego administrator prowadzi takie rejestry.

Dlaczego powinniśmy przechowywać dane w rejestrach RODO?

Podstawowym celem prowadzenia rejestrów RODO będzie realizacja zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie ogólnych zasad RODO, tj. zasady zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania oraz integralności i poufności.

Opisany w przykładzie wyżej rejestr wniosków w sprawie realizacji praw administrator prowadzi m.in. po to, aby móc wykazać, kiedy, od kogo i jaki wniosek otrzymał, a także kiedy i w jaki sposób go zrealizował, np. usunął dane lub w przypadku, gdy odmówił ich usunięcia, czy i w jaki sposób wyjaśnił przyczyny takiej odmowy. Szczególnie ważne jest odnotowanie daty otrzymania wniosku oraz daty realizacji prawa i udzielenia odpowiedzi, gdyż przepisy RODO, a konkretnie art. 12 ust. 3 RODO wymagają, aby takie działania zostały podjęte w ściśle określonym terminie  1 miesiąc, licząc od daty otrzymania żądania w sprawie realizacji prawa.

Prowadzenie rejestru wniosków w sprawie realizacji praw z art. 15–22 RODO będzie więc przede wszystkim narzędziem służącym do wykazania (udowodnienia), że przetwarzanie danych w ramach procesu realizacji takich żądań jest prowadzone zgodnie z prawem, a więc zgodnie z zasadą legalności.

Tego rodzaju rejestr nie będzie jedynym ani też najważniejszym potwierdzeniem, że administrator obsłużył żądanie oraz że zrobił to w terminie. Znacznie ważniejszymi dowodami będą w tym przypadku np. treść otrzymanego maila z żądaniem oraz treść i data udzielonej odpowiedzi, zapis z logów systemowych potwierdzający usunięcie danych. Rejestr oraz zawarte w nim informacje będą miały jednak ważne znaczenie ewidencyjne i porządkowe, umożliwiające szybkie dotarcie do prowadzonej korespondencji i podejmowanych przez administratora działań.

Jakie okresy retencji wynikają z krajowych przepisów?

W tym miejscu pojawia się kolejna wątpliwość, czyli pytanie o to, jak długo administrator powinien przechowywać dokumenty (dowody) potwierdzające, że podejmowane przez niego działania były zgodne z zasadami RODO. Niestety, przepisy RODO nie dostarczą nam odpowiedzi także na to pytanie. Ważną wskazówkę znajdziemy jednak w krajowych przepisach o ochronie danych osobowych. Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. określa m.in. tryb postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, a w zakresie w niej nieuregulowanym do prowadzenia postępowań administracyjnych przed Prezesem UODO odsyła do przepisów Kodeksu postępowania administracyjnego (art. 7 ust. 1 tej ustawy).

Wspomniany Kodeks postępowania administracyjnego (KPA) reguluje m.in. kwestię terminu przedawnienia możliwości nałożenia administracyjnej kary pieniężnej. Zgodnie z art. 189g § 1 KPA administracyjna kara pieniężna nie może zostać nałożona, jeżeli upłynęło pięć lat od dnia naruszenia prawa albo wystąpienia skutków naruszenia prawa. Skoro więc organ administracji publicznej – Prezes UODO – nie może nałożyć administracyjnej kary pieniężnej po upływie wskazanego wyżej terminu pięciu lat, można go traktować jako pewien punkt odniesienia do określenia terminów retencji związanych z przechowywaniem danych osobowych w rejestrach RODO.

wsparcie przy RODO naruszeniu

Wsparcie przy ustalaniu okresów retencji

Jeśli nie czujesz się na siłach, żeby samodzielnie ustalić okresy przetwarzania danych osobowych w Twojej firmie, czy organizacji – skorzystaj z naszej pomocy! Nasi doświadczeni eksperci pomogą Ci uporać się z każdym RODO-problemem.

Sprawdź

Podsumowanie

Prowadzenie rejestrów RODO w praktyce bardzo często będzie się wiązało się z przetwarzaniem danych osobowych, a tym samym także z koniecznością ustalenia właściwych okresów retencji dla przechowywanych w nich danych. Okres ten powinien być zawsze wyznaczany, biorąc pod uwagę cel, dla którego prowadzone są takie rejestry. Najczęściej celem takim będzie realizacja zasady rozliczalności, czyli wykazanie przestrzegania ogólnych zasad RODO. Administratorzy muszą więc przede wszystkim mieć na uwadze terminy związane z możliwością kontrolowania ich działań z punktu widzenia zgodności przepisami RODO, w tym nakładania administracyjnych kar pieniężnych za stwierdzone naruszenia.

 

Pobierz artykuł

Pobierz artykuł w PDF

, , ,
Ekspert ds. ochrony danych osobowych. Radca prawny. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. Ukończył także Podyplomowe Studia w zakresie Prawa Autorskiego, Wydawniczego i Prasowego w Instytucie Prawa Własności Intelektualnej UJ. Posiada doświadczenie zdobyte przy obsłudze prawnej spółek z branży internetowej i informatycznej, w tym w wiodącym portalu internetowym. Specjalizuje się w problematyce przetwarzania danych osobowych w działalności marketingowej, internetowej, a także prawie własności intelektualnej i prawie nowych technologii. Uczestniczył w kilkudziesięciu projektach audytorskich z zakresu ochrony danych osobowych, w tym m.in. dla podmiotów z sektora nowych technologii, branży energetycznej, medycznej. Wiedzą z zakresu ochrony danych osobowych dzieli się podczas szkoleń. Publikuje w czasopismach branżowych oraz na www.blog.daneosobowe.pl

Powiązane artykuły

rodo faq
Poradniki
Szkolenia RODO – jak skutecznie budować świadomość ochrony danych osobowych?
Artykuł miesiąca
Jak zarejestrować IOD? Czyli wypełnianie e-formularza zawiadomienia UODO krok-po-kroku
Nowości w prawie
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

TOP 5 najpopularniejsze artykuły

obowiązek informacyjny RODO
Obowiązek informacyjny w RODO
414 Komentarze
05 kwi 2018
zgoda RODO
Zgoda na przetwarzanie danych osobowych według RODO
159 Komentarze
19 maj 2017
ochrona danych osobowych
Czym są dane osobowe wg RODO?
146 Komentarze
27 mar 2017
dane osobowe rodo
Umowa powierzenia przetwarzania danych osobowych według RODO
130 Komentarze
24 paź 2016
monitoring RODO
Monitoring wizyjny a ochrona danych osobowych
55 Komentarze
30 gru 2016

Najnowsze komentarze

jan pawul
29 lut 2024
Witam :-) Czy cytowanie treści z 'print screen' w książce lub na blogu czyli imiona i ...
Chrobok
27 lut 2024
Publikacja ta to naprawdę cenny wkład w dyskusję na temat omawianego zagadnienia! Autor...
Radek
20 lut 2024
Dużo się dowiedzieliśmy, dzięki!
Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 16 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!