W sferze ochrony danych osobowych dla usystematyzowania poprawnego przetwarzania danych wdrażane są procedury ochrony danych (polityki), instrukcje oraz wykazy i rejestry. W miarę upływu czasu dokumenty, które wdrożono od początku wejścia w życie RODO wymagają aktualizacji lub zastąpienia. Wówczas rodzi się pytanie, co zrobić z poprzednimi wersjami dokumentów oraz danymi osobowymi zawartymi w wykazach i rejestrach? Jak długo je przechowywać, jeżeli informacje te nie są ujęte w jednolitym rzeczowym wykazie akt?
Jeżeli chodzi o dokumenty rejestrowe dotyczące czynności przetwarzania danych, to czas ich przechowywania nie jest określony w przepisach. Dokumenty te tworzone są w określonym celu, takim jak zgodność przetwarzania z przepisami RODO. Należy zatem uznać, że niektóre z tych dokumentów będą obowiązywać ciągle. Jeżeli chodzi natomiast o rejestry, w których dane przetwarzane są przez określony czas, to powinny być one przechowywane do czasu ustania karalności za naruszenie przepisów obowiązującego RODO. Za naruszenie przepisów RODO grozi odpowiedzialność karna w zależności od popełnionego czynu, a karalność ustaje po upływie 5 lat od chwili popełnienia czynu – art. 101 § 1 pkt 4 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz.U. z 2020 r. poz. 1444).
W jednostkach publicznych w celach archiwizacyjnych obowiązują głownie: ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020r. poz. 164) oraz Rozporządzenie Prezesa Rady Ministrów z 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych (Dz.U. Nr 11, poz. 67). W wymienionych wyżej aktach prawnych uregulowane są zasady postępowania z dokumentami wprowadzanymi w jednostkach, jak również dokumentami, które wpływają do jednostki od chwili wpłynięcia, do chwili uznania go za dokumentację zaliczaną do archiwum zakładowego. W szczególnych przypadkach okresu przechowywania dokumentów należy szukać w ustawach stanowiących o tych dokumentach.
Odnosząc się do danych osobowych należy mieć na względzie art. 5 ust. 1 lit. e Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1 ze zm.) – dalej RODO, który stanowi o zasadzie ograniczenia przetwarzania. Jest to nic innego, jak przechowywanie danych w taki sposób, aby była możliwa identyfikacja osoby, które dane dotyczą, ale tylko przez czas niezbędny do osiągnięcia celu, w jakim dane te zostały zebrane. W takim przypadku, jeżeli czas przechowywania nie jest określony w przepisach, to ustala go Administrator na podstawie celu w jakim zostały zebrane dane i czy konieczne jest dalsze przetwarzanie. Jeżeli Administrator uzna, iż nie ma podstaw do tego, by dalej przetwarzać te dane, należy zaprzestać ich przetwarzania i trwale usunąć.
Podstawa prawna:
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1);
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (Dz.U. z 2020 r. poz. 1444);
- Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020r. poz. 164);
- Rozporządzenie Prezesa Rady Ministrów z 18 stycznia 2011 r. w sprawie instrukcji kancelaryjnej, jednolitych rzeczowych wykazów akt oraz instrukcji w sprawie organizacji i zakresu działania archiwów zakładowych (Dz.U. Nr 11, poz. 67).