CZY ADMINISTRATOR JEST ZOBOWIĄZANY DO PRECYZYJNEGO WSKAZANIA OKRESU PRZECHOWYWANIA DANYCH, NAWET GDY PRZEPISY PRAWA NIE OKREŚLAJĄ GO JEDNOZNACZNIE?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w art. 5 ust. 1 lit. e wskazuje, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”).

Z kolei motyw 39 ww. rozporządzenia wskazuje, że aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Aby osiągnąć ten cel, administrator danych musi w pierwszej kolejności przeanalizować przepisy prawne związane z jego działalnością. Dla wielu podmiotów publicznych doprecyzowanie przepisów ustawy z dnia 14 lipca 1983 r. – o narodowym zasobie archiwalnym i archiwach stanowi instrukcja kancelaryjna. Natomiast w przypadku podmiotów, do których brak jest regulacji w tym zakresie, należy stosować ogólne zasady wynikające z ww. rozporządzenia.

Konieczność samodzielnego określenia przez administratora czasu przechowywania danych osobowych może zaistnieć nawet w sytuacjach, gdy cele przetwarzania danych są regulowane przepisami prawa. W takich sytuacjach na administratorze spoczywa odpowiedzialność za ocenę, czy cele zostały osiągnięte i czy dane są nadal potrzebne.

Należy pamiętać o tym, że ogólną zasadą jest nieprzechowywanie danych w nieskończoność. Zasada ta jest ściśle związana z prawem do bycia zapomnianym, prawem do usunięcia danych. Podkreślić należy także, że o okresie przechowywania danych decyduje cel ich przetwarzania.  Zgodnie z art. 6 ust. 4 ww. rozporządzenia, cel ten może ulec zmianie, a okres przechowywania może być określony także w przepisach szczególnych. W związku z tym, ustalenie konkretnych okresów przechowywania danych nie zawsze jest łatwe, gdyż wymagałoby to analizy wszystkich celów i regulacji, które mogą mieć w tym zakresie zastosowanie.

Wskazanie czasu, przez który dane osobowe będą przechowywane stanowi na mocy art. 13 ust. 2 lit. a oraz art. 14 ust. 2 lit. a ww. rozporządzenia, dopełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą. Informacja ta powinna zostać sformułowana w sposób umożliwiający osobie, której dane dotyczą określenie przez jaki okres jego dane zostaną przechowywane. Bowiem zastosowanie ogólnego stwierdzenia, przez administratora, że dane będą przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów przetwarzania, jest niewystarczające.

W związku z tym co powyżej, warto zaznaczyć także, że określenie okresu przechowywania danych osobowych jest wymagane również w związku z obowiązkiem prowadzenia rejestru czynności przetwarzania wyrażonym z art. 30 ust. 1 lit. f ww. rozporządzenia.

 

Podstawy prawne:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  • Ustawa z dnia 14 lipca 1983 r. -o narodowym zasobie archiwalnym i archiwach (Dz.U.2020 poz. 164 t.j.)