Czas, przez jaki przechowuje się dane osobowe nie powinien być dłuższy, niż jest to niezbędne do celu, do jakiego te dane zostały zebrane, zgodnie z art. 5 ust. 1 lit. f RODO. Dane mogą być przechowywane dłużej niż do osiągnięcia celu, w jakim zostały zebrane, w przypadku przetwarzania ich do celów archiwalnych i w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych i przetwarzanie to podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, zgodnie z art. 89 ust. 1 RODO.
Obowiązek wskazania czasu, przez jaki zebrane dane będą przechowywane nakłada na Administratora danych dopełnienie obowiązku informacyjnego wobec osób, których dane dotyczą z art. 13 i 14 RODO, a w przypadku braku możliwości wskazania okresu przechowywania, należy wskazać kryterium ustalania tego okresu. Poprzez wskazanie kryterium należy podać takie informacje, aby osoba, której dane dotyczą, była w stanie zobrazować sobie przez jaki okres dane jej dotyczące będą przechowywane.
Dla jednostek publicznych szczegółowe regulacje dotyczące okresu przechowywania danych zostały określone w ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach w formie instrukcji kancelaryjnej.
Dla podmiotów, co do których brak jest szczególnych uregulowań w przepisach prawa, Administrator danych osobowych powinien określić okres przechowywania z uwagi na fakt, że posiada pełną wiedzę o danym procesie przetwarzania. W głównej mierze o tym, jak długo mogą być przechowywane dane osobowe, decyduje cel ich przetwarzania. W szczególnych przypadkach dla różnych kategorii danych i różnych celów należy ustalić odrębne okresy przechowywania danych. Określanie czasu przetwarzania jest wymagane również na podstawie art. 30 ust. 1 lit. f RODO w związku z prowadzeniem rejestru czynności przetwarzania. Niewystarczające jest natomiast określenie, że dane będą przetwarzane do czasu osiągnięcia celu, do którego zostały zebrane.
W przypadku braku możliwości ustalenia czasu przechowywania danych należy opierać się na przepisach RODO. Dobrą praktyką jest ustalenie okresowego przeglądu zebranych danych i określenie, czy cel do jakiego dane zostały zebrane został osiągnięty, a co tym idzie, czy nie ma już podstaw do dalszego przetwarzania tych danych.
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1);