Jak długo przechowywać dokumentację związaną z ochroną danych

Marcin Sarna

Autor: Marcin Sarna

Dodano: 14 maja 2019
Dokumentacja kadrowa

Czy istnieją rozwiązania prawne regulujące okres przechowywania dokumentacji związanej z ochroną danych osobowych np. upoważnień do przetwarzania danych, umów powierzenia przetwarzania danych czy kart szkoleń? Pytanie to zadaje sobie wielu administratorów. Niektórzy zastanawiają się nawet, czy w świetle reguły rozliczalności wynikającej z art. 5 RODO nie jest konieczne przyjęcie bezterminowego okresu przechowywania tego typu dokumentacji. Sprawdź, jak ustalić okres przechowywania takiej dokumentacji.

Dokumenty można przechowywać po anonimizacji

Dane osobowe powinny zostać usunięte bezzwłocznie jeżeli są zbędne do realizacji celu, dla którego zostały zebrane. Zgodnie z art. 17 ust. 1 lit. a RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Czym innym jest jednak usuwanie danych osobowych a czym innym obowiązek przechowywania konkretnych dokumentów. Jeżeli brak jest podstawy prawnej do przetwarzania danych osobowych ale z jakichś przyczyn administrator nadal zamierza przechowywać dokumenty zawierające dane osobowe, wówczas może dokumenty zanonimizować przez usunięcie danych osobowych z treści umów (wyczernienie, wykreślenie, wycięcie w sposób trwale uniemożliwiający odczytanie danych).

Opieramy się na instrukcji kancelaryjnej lub jednolitym rzeczowym wykazie akt

Wprawdzie instrukcje kancelaryjne czy jednolity rzeczowy wykaz akt to jedynie tzw. normatyw, wzorcem działania pozwalającym na przyjęcie jakiejś określonej wersji biurokracji w danej jednostce (urzędzie). Ma on jednak także pewne podstawy prawne. Przede wszystkim art. 5 ust. 1 pkt 2 ustawy o narodowym zasobie archiwalnym i archiwach stanowi, że brakowanie dokumentacji niearchiwalnej może nastąpić po upływie okresu jej przechowywania, określonego w jednolitym rzeczowym wykazie akt lub kwalifikatorze dokumentacji oraz po uznaniu przez organ lub jednostkę organizacyjną, że dokumentacja niearchiwalna utraciła dla nich znaczenie, w tym wartość dowodową. Tym samym jednolity rzeczowy wykaz akt stanowi podstawę oznaczania, rejestracji i grupowania dokumentacji w organie lub jednostce organizacyjnej w chwili wszczynania spraw. Dość podobnie sprawy mają się z instrukcją kancelaryjną.

RODO nie wymaga, aby okres przechowywania danych wynikał jednoznacznie z przepisu prawa. Tym samym nie jest istotny charakter prawny np. instrukcji kancelaryjnej. Wielokrotnie przecież w obrocie prawnym spotykamy się z takimi określeniami okresu przechowywania danych osobowych, wskazywanymi w klauzuli informacyjnej, które nie wynikają z jakiegoś konkretnego przepisu prawa.  

Przykład

Urząd przeprowadzający jakiś konkurs może wskazać, że dane uczestników konkursu będą przechowywane przez okres niezbędny do wyłonienia zwycięzców tego konkursu. Okres ten nie został określony w jakiejkolwiek normie prawnej, a takie jego zakreślenie w klauzuli informacyjnej jest bezsprzecznie prawidłowe.

Warto też zauważyć, że okresy przechowywania danych są też niejednokrotnie określane na podstawie dokumentacji wewnętrznej danego podmiotu czy innej jednostki organizacyjnej (np. polityki bezpieczeństwa).

Uwaga

Ważne jest to, aby dane osobowe były przez dany podmiot przetwarzane wyłącznie przez okres niezbędny do realizacji celów tego przetwarzania. Tak długo więc jak okres przechowywania nie jest dłuższy niż okres, przez jaki dane muszą być przetwarzane w związku z celami dla jakich zostały pozyskane, tak długo nie ma naruszenie przepisów o ochronie danych osobowych. Trudno zaś sobie wyobrazić sytuację, w której cel ten będzie istniał przez czas nieoznaczony.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel