Żadne dane osobowe klientów nie mogą być przechowywane przez przedsiębiorcę bezterminowo, o czym mówi zasada ograniczenia przechowywania dostarczona przez RODO. Co więcej o tym, jakie dane przechowywać dłużej, a jakie krócej mogą decydować również inne przepisy, które administrator musi wziąć pod uwagę – choćby ze względu na ze względu na obowiązki podatkowe lub możliwość dochodzenia roszczeń przez użytkownika.

O czym więc pamiętać i co właściwie decyduje o okresach retencji danych w biznesie?

Czym jest retencja danych?

Retencja oznacza zasadę ograniczenia przechowywania danych osobowych, którą wprowadza RODO. Przechowywanie w formie umożliwiającej identyfikację osoby, której dane dotyczą, jest możliwe jedynie przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (art. 5 lit. e). Zgodnie z motywem 39 RODO dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Konieczne jest zatem ograniczenie okresu przechowywania danych do ścisłego minimum, a co się z tym wiąże – jasne określenie celów przetwarzania, związanych np. z realizacją umowy, obsługą reklamacji, obowiązkiem księgowym czy prowadzeniem działań marketingowych.

Zgodnie z art. 13 i 14 RODO administrator musi poinformować, jak długo dane będą przechowywane albo jakie kryteria decydują o ustaleniu tego okresu. Dokonuje się tego najczęściej w polityce prywatności, regulaminie czy klauzulach informacyjnych.

Pojęcie retencji danych wiąże się również obowiązkiem usunięcia danych, zanonimizowania ich lub ograniczenia do minimum niezbędnego z punktu widzenia innych obowiązków prawnych, po osiągnięciu zakładanych celów przetwarzania.

Prawo do bycia zapomnianym

W niektórych przypadkach podmiot danych może domagać się usunięcia danych osobowych. Kwestię obowiązku usunięcia danych osobowych przez administratora na żądanie podmiotu danych reguluje przede wszystkim art. 17 RODO. Co to oznacza w praktyce? W niektórych sytuacjach, jeśli otrzymasz żądanie usunięcia danych od osoby fizycznej, musisz to żądanie rozpatrzyć i ocenić, czy są spełnione przesłanki usunięcia danych zgodnie z tym przepisem.

W jakim zatem przypadku konieczne będzie usunięcie danych?

• cel przetwarzania został osiągnięty – dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, np. dane z formularza kontaktowego nie powinny być przechowywane przez wiele lat, jeśli sprawa została już dawno zakończona (dla celów statystycznych mogą być poddane anonimizacji);
• gdy użytkownik cofnął zgodę, a nie ma innej podstawy prawnej przetwarzania – ten przypadek dotyczy przede wszystkim działań marketingowych;
• po wniesieniu sprzeciwu przez użytkownika danych na podstawie art. 21 RODO, gdy jednocześnie nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
• dane były przetwarzane niezgodnie z prawem.

Kiedy firma może przechowywać dane pomimo zakończenia współpracy?

Należy pamiętać, że RODO nie wymaga bezwzględnego usunięcia danych osobowych. Są sytuacje, w których przedsiębiorca ma wręcz obowiązek dalszego przetwarzania danych, pomimo zakończenia współpracy. Wynika to obowiązków prawnych, jakie wymagają od administratora przechowywania przez dłuższy czas określonej dokumentacji. Jakie to mogą być przypadki?

• dokumenty księgowe i faktury – w celu dokonania rozliczeń podatkowych dokumenty powinny być przechowywane przez 5 lat od końca roku podatkowego, w którym upłynął termin płatności podatku;
• roszczenia i spory prawne – na wypadek sporu sądowego lub reklamacji zgłoszonej po zakończeniu współpracy, Kodeks cywilny przewiduje okres retencji od 3 do 6 lat;
• reklamacje i rękojmia – zgodnie z przepisami Kodeksu cywilnego odpowiedzialność sprzedawcy z tytułu rękojmi za wady rzeczy sprzedanej trwa co do zasady 2 lata od wydania towaru;
• dokumentacja pracownicza – pracodawca ma obowiązek przechowywania dokumentacji byłych pracowników przez okres 10 lat, chyba, że pracownik został zatrudniony przed 1 stycznia 1999 r. (wtedy jest to 50 lat).

Jak firma powinna zarządzać retencją danych?

Przedsiębiorca powinien przygotować stosowną politykę retencji danych, aby wprowadzić jasne zasady dotyczące okresów przechowywania danych i ich usuwania. Dokument taki miałby uwzględniać wymagania nie tylko ze strony RODO, ale także inne przepisy, np. podatkowe czy cywilne. Takie działanie powinno być elementem szerszego systemu zarządzania ochroną danych w przedsiębiorstwie.

Co warto wdrożyć w swojej firmie, żeby przetwarzanie danych osobowych odbywało się zgodnie z prawem?

• określenie konkretnych okresów przechowywania dla różnych kategorii danych – inny czas retencji będzie dotyczył danych klientów, inny danych marketingowych, a jeszcze inny dokumentacji księgowej czy kadrowej;
• procedury automatycznego usuwania lub anonimizacji danych, co ograniczy ryzyko błędów i naruszeń zasad ochrony danych;
• dokumentacja prowadzenia przeglądu i usuwania danych (np. prowadzenie rejestrów lub raportów z okresowych audytów danych).

Źródło: https://paluckiszkutnik.pl/rodo-w-firmie-jaka-dokumentacje-powinien-posiadac-przedsiebiorca/