Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Czy trzeba precyzyjnie określać okres przechowywania danych?

Czy administrator jest zobowiązany do precyzyjnego wskazania okresu przechowywania danych, nawet gdy przepisy prawa nie określają go jednoznacznie? Nie znaleźliśmy w przepisach wprost określonego okresu przechowywania danych osobowych (np. ile dni, miesięcy, lat należy przechowywać dane osobowe przetwarzane w określonym celu). CXzy jesteśmy zobowiązani do jego wskazania, jeśli z przepisów nie wynika to wprost?

Zgodnie z art. 5 ust. 1 lit. e RODO, dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania").

Żeby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu (motyw 39 RODO). W tym celu administrator powinien dokonać analizy dotyczących jego działalności przepisów prawa. W przypadku wielu podmiotów publicznych doprecyzowanie przepisów archiwizacyjnych (ustawy o narodowym zasobie archiwalnym i archiwach) stanowi instrukcja kancelaryjna.

W przypadku zaś podmiotów, w odniesieniu do których brak jest szczegółowych regulacji w tym zakresie, należy stosować ww. wskazane zasady ogólne wynikające z RODO. Konieczność samodzielnego określenia przez administratora okresu przechowywania danych osobowych może zachodzić bowiem nawet w sytuacji, w której cele przetwarzania danych określone są w przepisach prawa. W takich sytuacjach obowiązkiem administratora jest dokonanie oceny, czy cele zostały osiągnięte i czy dane są mu nadal potrzebne.

W piśmiennictwie zwróca się uwagę, że kwestie okresu przechowywania danych zależne są od celu przetwarzania i powinny być oceniane przez administratora mającego pełną wiedzę o danym procesie przetwarzania: „Ogólną zasadą jest zakaz przechowywania danych w nieskończoność. Należy zauważyć, że z tą zasadą koresponduje prawo do usunięcia danych (prawo do bycia zapomnianym). Jednocześnie o tym, jak długo dane mogą być przechowywane, decyduje cel ich przetwarzania. Podkreślenia wymaga, że zgodnie z art. 6 ust. 4 może dojść do zmiany celu, jak również okresy przechowywania mogą być szczegółowo określone w przepisach szczególnych. Z tego względu nie zawsze proste będzie określenie konkretnych okresów przechowywania danych, będzie ono bowiem wymagało analizy wszystkich celów i przepisów, które w tym zakresie mogą mieć zastosowanie.”[1]

Wskazanie okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, określenie kryteriów ustalania tego okresu, jest jednym z elementów podawanych podczas dopełniania obowiązku informacyjnego spełnianego wobec osoby, której dane dotyczą, na mocy art. 13 ust. 2 lit. a i art. 14 ust. 2 lit. a RODO. W Wytycznych Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260 rev.01 w załączniku dotyczącym informacji, które należy przekazać osobie, której dane dotyczą, na podstawie art. 13 lub art. 14 wskazano (str. 46), że okres przechowywania (lub kryteria jego ustalania) może być podyktowany takimi czynnikami, jak wymogi ustawowe lub wytyczne branżowe, jednak informacja o nim powinna być sformułowana w taki sposób, aby osoba, której dane dotyczą, miała możliwość ocenienia – na podstawie własnej sytuacji – ile będzie trwał okres przechowania w przypadku określonych danych/celów. Ogólne stwierdzenie przez administratora, że dane osobowe będą przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów przetwarzania, jest niewystarczające. W stosownych przypadkach należy ustalić różne okresy przechowywania dla różnych kategorii danych osobowych lub różnych celów przetwarzania, w tym okresy archiwizacji.

Dodać należy, że precyzyjne określenie tego okresu jest też wymagane również w związku z obowiązkiem prowadzenia rejestru czynności przetwarzania (art. 30 ust. 1 lit. f RODO). Więcej na temat tego obowiązku znaleźć można w objaśnieniach Urzędu Ochrony Danych Osobowych dotyczących sposobu realizacji obowiązków określonych w art. 30 RODO (https://uodo.gov.pl/pl/123/214).[1] P. Drobek [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 5.

2020-10-15 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2020-10-15
Wprowadził‚ informację: Edyta Madziar 2020-10-15 11:10:14
Ostatnio modyfikował: Edyta Madziar 2020-10-15 12:25:23