Rozporządzenie RODO, dotyczące ochrony danych osobowych, w istotny sposób zmieniło tryb pozyskiwania i przechowywania danych dotyczących osób fizycznych. Dane osobowe, którymi dysponują przedsiębiorcy, podlegają szczególnym regulacjom i zasadom. Zgodnie z przepisami, nie mogą być one przechowywane bezterminowo.
Przechowywanie danych ograniczone do minimum
Przepisy rozporządzenia RODO wprowadzają definicję danych osobowych, zgodnie z którą są to wszystkie dane identyfikujące osobę fizyczną lub umożliwiające taką identyfikację. Nie ograniczają się wyłącznie do imienia i nazwiska, adresu zamieszkania, numeru PESEL czy numeru dowodu osobistego – są nimi również wizerunek, przynależność do związku zawodowego, pochodzenie etniczne czy przekonania światopoglądowe. Wbrew popularnemu przekonaniu, RODO chroni nie tylko osoby fizyczne, lecz także podmioty gospodarcze, jeśli ich dane zawierają informacje odnoszące się do osób fizycznych (np. spółka osobowa zawierająca w swojej nazwie nazwiska wspólników czy spółka zarejestrowana pod adresem zamieszkania jednego ze wspólników).
"Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. (...) Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. (...)"
Motywy rozporządzenia RODO zawierają ogólne zasady, jakimi winny kierować się podmioty przetwarzające dane osobowe. Najważniejszą z nich jest minimum – przedsiębiorca powinien pobierać od swoich klientów, pracowników i kontrahentów wyłącznie dane, które są rzeczywiście niezbędne do osiągnięcia celu, dla którego zostają one uzyskane (np. realizacji zamówienia klienta, zatrudnienia pracownika, nawiązania współpracy gospodarczej z innym podmiotem). Przepisy RODO nie precyzują ani dokładnego zakresu danych, ani dokładnych metod ich ochrony – każdy administrator danych musi samodzielnie zdecydować, jakie środki będą najodpowiedniejsze w przypadku prowadzonej przez niego działalności i dostosować zabezpieczenia do swoich potrzeb.
Zasada minimum dotyczy również okresu przechowywania danych osobowych. Przepisy RODO nie narzucają wprost dokładnego czasu, wskazując jedynie, że okres ten winien zostać ograniczony do „ścisłego minimum”.
"Dane osobowe muszą być:
przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”)."
Przez jaki czas można przechowywać dane osobowe?
Wskazania zawarte w motywach rozporządzenia RODO zostały doprecyzowane w przepisie art. 5 ust. 1 lit. e – zgodnie z przywołanym przepisem, dane osobowe w rozumieniu rozporządzenia RODO (czyli wszystkie dane dotyczące osób fizycznych) mogą być przechowywane wyłącznie przez okres niezbędny do wypełnienia celów, dla których zostały one pobrane. Ponownie, jak w przypadku zakresu danych oraz środków ich ochrony, rozporządzenie RODO nie narzuca określonego czasu przechowywania danych osobowych i nie wskazuje limitu w miesiącach czy latach – każdy administrator danych musi samodzielnie zadecydować, jak długo pobrane przez niego dane będą przechowywane. Okres ten musi być minimalny – podmiot je przetwarzający nie może przechowywać ich przez dziesięciolecia czy nawet bezterminowo. Administrator danych nie może w zgodach czy klauzulach informacyjnych umieścić informacji o tym, że dane będą przechowywane bezterminowo – taka klauzula nie odniesie zamierzonego skutku prawnego. Naruszenie regulacji dotyczącej zasady ograniczonego przechowywania, zwłaszcza w przypadku, w którym przedsiębiorca nie będzie w stanie wskazać przyczyny zbyt długiego okresu przechowywania, może skutkować nałożeniem na administratora danych kary finansowej.
Na określenie prawidłowego czasu przechowywania danych osobowych wpływają również inne czynniki – przede wszystkim ewentualne przepisy szczególne (tj. wynikające z innych ustaw, przykładowo z przepisów ustawy o rachunkowości, dotyczące minimalnego okresu przechowywania ksiąg rachunkowych). W każdym przypadku przedsiębiorca winien zwrócić uwagę na przepisy wynikające z Kodeksu cywilnego, dotyczące przedawnienia roszczeń. Z uwagi na ewentualny proces sądowy dane powinny być przechowywane przez okres niezbędny do upływu terminu przedawnienia roszczeń ich administratora oraz przeciwko administratorowi danych. W przypadku przeważającej większości przedsiębiorców okres ten będzie wynosił trzy lata.
Przykład 1.
Jan Nowak prowadzi sklep internetowy. W celu realizacji zamówień składanych przez klientów pozyskuje od nich dane niezbędne do wykonania transakcji i przesłania zamówienia na ich adres. Nie powinien on przechowywać pozyskanych w ten sposób danych przez okres 10 czy 15 lat – najwłaściwszym czasem przechowywania danych w tym przypadku byłyby trzy lata liczone od momentu wykonania zamówienia.
Administrator danych winien pamiętać, że okresowi przechowywania danych muszą odpowiadać środki ochrony, jakie przedsiębiorca ma obowiązek wprowadzić celem zapewnienia bezpieczeństwa danych.
Po upływie okresu przechowywania danych ich administrator ma obowiązek ich usunięcia – w tym przypadku będzie to oznaczało usunięcie ich ze wszystkich systemów i nośników, jakich przedsiębiorca używa do ich przechowywania.
Zgodnie z zasadą ograniczonego przechowywania administrator danych nie może przechowywać zgromadzonych danych bezterminowo. Okres przechowywania danych powinien być dostosowany do celów, dla jakich je pobrano.
Jedyny wyjątek wynikający z rozporządzenia RODO dotyczy przechowywania danych do celów:
-
archiwalnych (tylko w interesie publicznym);
-
badań naukowych lub historycznych;
-
statystycznych.
W takich przypadkach dane osobowe mogą być przechowywane przez okres dłuższy niż „minimalny”, choć nadal informacje te nie powinny być przechowywane w sposób nieograniczony i bezterminowy. Jednocześnie administrator danych ma wówczas obowiązek zapewnienia dodatkowych środków technicznych i organizacyjnych celem zapewnienia właściwego poziomu bezpieczeństwa przechowywanych danych oraz zadbania o ochronę praw oraz wolności osób, których one dotyczą.
Jeśli podstawą pozyskiwania i przechowywania danych osobowych jest zgoda osoby fizycznej, jej odwołanie będzie wiązało się dla administratora danych z obowiązkiem usunięcia danych z jego bazy, niezależnie od okresu, jaki administrator danych wyznaczył na przechowywanie informacji.
Jak długo można przechowywać dane osobowe zebrane przed 25 maja 2018 r.?
W odniesieniu do danych pozyskanych przez administratora danych przed 25 maja 2018 r., tj. przed datą wejścia w życie rozporządzenia RODO, każdy przedsiębiorca musi rozważyć, czy zostały one pobrane zgodnie z zasadami określonymi w obowiązujących obecnie przepisach. Jeśli przedsiębiorca pozyskał więcej danych niż to konieczne, najwłaściwszym rozwiązaniem byłoby ich usunięcie. Jeśli właściciel danych nie wyraził zgody na pobranie i przechowywanie danych, administrator danych powinien zadbać o pozyskanie właściwej zgody lub ewentualnie jej aktualizację. Dane zebrane przed wskazanym powyżej terminem nie powinny być przechowywane bezterminowo – administrator musi dostosować okres ich przechowywania do nowych zasad.