Jak długo przechowywać dokumentację ODO

Marcin Sarna

Autor: Marcin Sarna

Dodano: 5 czerwca 2020
537488d8ae4b355294af586f6e0d6ac0a0fb6f87-xlarge(1)
Pytanie:  Jak długo należy przechowywać archiwalną dokumentację ochrony danych w tym raporty z audytów, sprawdzenia, dokumentację szkoleń, materiały informacyjne?
Odpowiedź: 

Archiwalną dokumentację należy przechowywać tak długo, jak leży to w interesie administratora.

O kształcie dokumentacji ODO decyduje administrator

Każdy administrator danych osobowych powinien prowadzić dokumentację ochrony danych osobowych, w tym przede wszystkim dokumentację odpowiednich zabezpieczeń.

Dokumentacja danych osobowych według RODO może mieć bardzo różny kształt i tytuły. Wszystko zależy od tego jakie dane, w jakiej formie, na jakiej podstawie i w jakim zakresie administrator przetwarza. W szczególności dokumentacja ochrony danych powinna opisywać środki zabezpieczające przetwarzanie danych wdrożone przez administratora danych.

Uwaga

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać (art. 24 RODO).

Oznacza to, że administrator danych powinien samodzielnie ocenić czy i co chce opisać w dokumentacji RODO. Z tego też powodu mówi się o wdrażaniu RODO bo nie ma dwóch takich samych sytuacji.

Inne dokumenty – poza dotyczącymi środków zabezpieczających – jakie powinny zostać wdrożone, to:

  • rejestr czynności przetwarzania;
  • zakres rejestru kategorii czynności przetwarzania;
  • rejestr naruszeń ochrony danych;
  • raport dokumentujący wyniki przeprowadzonych ocen skutków dla oceny danych.

Okres przechowywania zależy od interesu administratora

RODO nie precyzuje także tego jak długo należy zachowywać dokumentację RODO. Przede wszystkim dokumentacja obowiązująca u administratora powinna być aktualna. Natomiast wersje archiwalne regulacji czy dokumenty jednorazowe (jak np. wskazany w pytaniu raport z audytu) powinny być przechowywane tak długo jak długo jest to w interesie administratora.

Uwaga

Należy przeanalizować, czy administratorowi nadal może się przydać taka dokumentacja ze względu na zasadę rozliczalności (np. wykazanie wykonania obowiązków prawnych w określonym terminie) czy termin przedawnienia roszczeń.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x