GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Retencja – dlaczego, kiedy i jak należy usuwać dane osobowe

Autor: dr Michał Czarnecki
Udostępnij publikację:
Retencja – dlaczego, kiedy i jak należy usuwać dane osobowe

Podczas, gdy w większości przedsiębiorstw trwa gorączkowa lektura przepisów Rozporządzenia Ogólnego o Ochronie Danych (RODO), a także opracowywanie polityk i procedur uwzględniających nowe prawa i obowiązki, często poza głównym nurtem przygotowań pozostaje kwestia regularnego usuwania danych, które dawno nie są nam już potrzebne lub które stały się nieadekwatne do realizowanych celów.

Dlaczego musimy usuwać dane

Zgodnie z art. 5 ust. 1e RODO dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, dla realizacji których dane te są przetwarzane. Wyrażona w tym przepisie zasada ograniczenia przechowywania wskazuje, że dane nie mogą być przetwarzane w nieskończoność i w każdym przypadku należy ocenić, czy dla danego podmiotu są one niezbędne w kontekście realizacji konkretnych celów.

W stanowiskach GIODO wielokrotnie wskazywano także, iż dane osobowe nie mogą być zbierane na zapas, „na wszelki wypadek”, tj. bez wykazania celowości ich pozyskania i niezbędności dla realizacji zadań administratora danych[1] (co wynika także z zasady adekwatności wyrażonej w art. 5 ust. 1c RODO).

Przez „retencję”, na potrzeby niniejszego artykułu, będziemy rozumieć wewnętrzną polityką lub procedurę, określającą zasady i okresy usuwania danych osobowych wynikające z przepisów prawa lub celów administratora.

Usuwamy zatem dane, gdy:

  • minął okres ich przydatności;
  • okaże się, że cel który chcemy osiągnąć, nie wymaga już przetwarzania takich danych.

RODO nie określa kiedy i jak należy usuwać dane osobowe. W wytycznych brytyjskiego organu nadzorczego – ICO[2] wskazano, iż w czasach, w których dominowała dokumentacja papierowa stosunkowo łatwo było stwierdzić, czy informacje zostały usunięte (były one i są nadal – cięte, mielone, palone). Sytuacja komplikuje w przypadku danych przetwarzanych w systemach informatycznych, gdzie informacje, które zostały „usunięte”, mogą nadal istnieć, w takiej czy innej formie.

Z powyższego wynika jednak, iż należy ograniczyć okres przechowywania danych osobowych do ścisłego minimum, a także przyjąć procedurę, która pozwoli sprecyzować konkretne terminy usuwania danych osobowych i ścieżkę faktycznej realizacji takiego zadania.

Od czego zacząć

Przygotowanie procedury usuwania danych osobowych zacząć należy od ich inwentaryzacji. Sprawdzamy jakie dane przetwarzamy, w ramach jakich procesów, gdzie i w jakiej formie (papierowej lub elektronicznej). Następnie analizujemy, jak długo musimy przetwarzać określone dane osobowe, przy czym czas ten ustala się na dwa sposoby.

W pierwszej kolejności należy sprawdzić, czy istnieją przepisy szczególne regulujące obowiązek przetwarzania pewnych informacji przez z góry ustalony okres. Można tu wskazać przepisy prawa pracy, prawa podatkowego lub ustawy o rachunkowości. Jeśli ustawodawca nie reguluje takiej kwestii, należy odnieść ją do ewentualnego prawnie uzasadnionego interesu administratora – innym słowy zapytać „jak długo te dane mogą być nam przydatne?”. Metoda ta znajduje zastosowanie m.in. w stosunku do wyznaczania okresu przechowywania CV, nagrań z monitoringu lub korespondencji.

Powyższe, pozwala na skonstruowanie tabeli retencji, w której zamieszczamy informacje o poszczególnych danych osobowych, o okresach ich przetwarzania wraz ze wskazaniem kryteriów ich ustalania, a także o nośnikach danych i lokalizacji (fizycznej, w systemie informatycznym). Dopisać także można osobę (lub dział) odpowiedzialną za regularne usuwanie danych.

Ustalając okres retencji należy wziąć pod uwagę obecną i przyszłą wartość informacji, koszty, ryzyko i zobowiązania związane z przetwarzanie danych, a także realną możliwość zapewnienia, by dane były aktualne[3].

Regularnie musimy także sprawdzać, czy dane są nam niezbędne do realizacji określonych celów, np. czy zawarta w formularzu reklamacyjnym informacje nie wykraczają poza niezbędne minimum. Zakres takiego „niezbędnego minimum” może się zmieniać w zależności od fluktuacji kontekstu prawnego, czy też kształtu naszych procesów biznesowych. Musimy jednak pamiętać, by nie narazić się na zarzut nieadekwatności – administrator powinien bowiem przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Relewantność (adekwatność) danych powinna być oceniania najpóźniej w momencie ich zbierania[4].

Przeglądy i odpowiedzialność

Uzupełnieniem polityki powinny być regularne przeglądy, podczas których osoba odpowiedzialna za realizację procedury retencji lub osoba przez nią upoważniona dokonuje okresowych przeglądów ustalonych okresów retencji, lokalizacji danych osobowych, a także weryfikacji faktycznej realizacji obowiązku usuwania danych osobowych.

Z tego też względu tak istotne jest odpowiednie przypisanie ról i odpowiedzialności pomiędzy osobami w organizacji (kto opracowuje i aktualizuje politykę, kto ją realizuje, kto wspomaga ten proces i jak sprawdzać, czy wszystko odbywa się sprawnie i zgodnie z takim dokumentem).

Rozwiązaniem zmierzającym do optymalnej alokacji ryzyka jest np. zobowiązanie kierowników poszczególnych jednostek organizacyjnych do przygotowania listy przetwarzanych danych osobowych wraz z podstawą prawną lub kryterium ustalania okresów przechowywania takich danych oraz ich lokalizacją i porównania jej ze wspomnianą tabelą retencji. Następnie, w określonym terminie, raportowane są niezgodności lub informacje nie ujęte w tabeli.

Jak usuwać dane

Usuwanie danych może mieć charakter zautomatyzowany – poprzez odpowiednią konfigurację systemów informatycznych (w przypadku danych przetwarzanych w formie elektronicznej), lub być dokonywane manualnie, okresowo, czemu towarzyszy zwykle sporządzenie protokołu usunięcia danych.

Wskazać przy tym należy, iż systemy informatyczne powinny pozwalać na ustalanie okresów retencji poszczególnych danych, a także umożliwiać sprawne usuwanie całości lub części danych (co może być problematyczne, gdy w organizacji funkcjonuje kilka systemów o złożonej sieci przepływów).

W procedurze retencji należy też przedstawić wytyczne w zakresie niszczenia dokumentów oraz innych nośników zawierających dane osobowe, uwzględniające takie elementy jak:

  • fizyczne niszczenie dokumentacji,
  • likwidacja sprzętu i nośników zawierających dane osobowe,
  • usuwanie danych z systemów,
  • korzystanie z usług wyspecjalizowanych firm, oferujących usługi w ww. zakresie.

Retencja a obowiązek informacyjny

Tabela okresów retencji jest wykorzystywana przy opracowaniu treści obowiązku informacyjnego, który wypełniamy wobec osób, których dane przetwarzamy. Jednym z jego elementów jest konieczność wskazania okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (art. 13 ust. 2a  RODO– w przypadku zbierania danych od osoby, której dane dotyczą, art. 14 ust. 2a RODO – w przypadku zebrania danych z innego źródła, art. 15 ust. 1d ROO – wskazanie „w miarę możliwości” w przypadku realizacji prawa dostępu).

Praktyczne problemy

Przy wdrożeniu procedury usuwania danych mogą się pojawić liczne problemy natury praktycznej.

W organizacjach funkcjonuje często tzw. szara strefa danych osobowych. Stanowią ją zazwyczaj dane zapisane lub wydrukowane w celu wykonania roboczych operacji, takich jak ukończenie zlecenia poza siedzibą administratora, czy też dokonanie prezentacji (na spotkaniu wewnętrznym, u klienta). Są to maile, zestawiania tabelaryczne, czy też listy przechowywane na pendrive’ach lub wydrukach.

Innym istotnym problemem może być brak precyzyjnej mapy danych osobowych i niemożność ich zlokalizowania. Bez świadomości co, po co i gdzie robimy, nie jesteśmy w stanie opracować i wdrożyć odpowiedniej procedury. Przyjęta polityka może okazać się iluzoryczna, a zakres danych, nad którymi  nie mamy żadnej kontroli, dawno przekroczyć poziom alarmowy.

Dla większych podmiotów wyzwaniem może być także przystosowanie systemów informatycznych do wymogów określonych w procedurze. Mamy tu na względzie np. przechowywanie informacji o posiadaniu zgód na poszczególne cele (rekrutacyjne, marketingowe), ale też konkretne rozwiązania techniczno-organizacyjne np. skanowanie dokumentów bezpośrednio na dysk wspólny, bez pozostawiania pliku na komputerach poszczególnych pracowników. Należy pamiętać, że niektóre systemy nie pozwalają np. na całkowite usuniecie profilu użytkownika, inne zachowują informacje o danych, które zostały nadpisane.

Podsumowanie

RODO nie wprowadza żadnych szczegółowych wymogów technicznych i organizacyjnych w odniesieniu do retencji, jej okresów i  sposobu usuwania danych. Wymogi formalne powinny zostać ograniczone do niezbędnego minimum:

  • określenia odpowiedzialności,
  • określenia okresów retencji,
  • przedstawienia wytycznych dotyczących usuwania danych w systemach informatycznych, a także niszczenia dokumentów i innych fizycznych nośników danych osobowych. 

[1] https://edugiodo.giodo.gov.pl/file.php/1/UST/UST_03_04.htm.

[2] ICO, Deleting personal data, https://ico.org.uk/for-organisations/.

[3] https://ico.org.uk/for-organisations/guide-to-data-protection/principle-5-retention.

[4] ZASADY PRZETWARZANIA DANYCH OSOBOWYCH, Zasada adekwatności, https://edugiodo.giodo.gov.pl.

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies