Jak długo przechowywać dane osobowe w e-mailu?
Aby odpowiedzieć na powyższe pytanie, należy na wstępie przywołać podstawowe zasady przetwarzania danych osobowych, zgodnie z art. 5 ust. 1 RODO.
A mianowicie:
- Należy pamiętać o przetwarzaniu zgodnym z prawem, czyli posiadaniu podstawy prawnej przetwarzania danych osobowych,
- Ważne jest ograniczenie celu, w myśl której dane osobowe mogą być przetwarzane tylko w konkretnie sprecyzowanym celu,
- Pamiętajmy o minimalizacji danych, zgodnie z tą zasadą należy przetwarzać jedynie takie dane osobowe, które są niezbędne do realizacji celu przetwarzania,
- Istotnym jest ograniczenie przetwarzania w czasie, dane mogą być legalnie przetwarzane tylko w okresie, w którym istnieje cel ich przetwarzania.
Wygaśnięcie albo zrealizowanie celu przetwarzania kończy okres przetwarzania danych, o ile nie istnieje inna podstawa prawna przetwarzania.
Dane osobowe zgromadzone w poczcie elektronicznej należy traktować tak, jak dane osobowe gromadzone w inny sposób. Każda organizacja pozarządowa przechowuje dane osobowe na skrzynce e-mail, a RODO nakłada szereg obowiązków związanych z ochroną tych danych, m.in. pojawia się wymóg ograniczenia czasowego przetwarzania danych.
Ograniczenie czasowe przechowywania danych osobowych to jedna z podstawowych zasad przetwarzania danych osobowych w wymienionym wyżej art. 5 ogólnego rozporządzenia o ochronie danych (RODO), należy przy tej okazji pamiętać, iż dane należy przechowywać przez możliwie jak najkrótszy okres.
Zatem trzeba wyznaczyć cel przetwarzania danych osobowych, podstawę prawną oraz retencje, czyli czas, po którym dana podstawa prawna przetwarzania wygasa.
Z czego wynikają różne okresy retencji?
Prawny okres przetwarzania danych osobowych w e-mailu jest zatem zależny od wskazanych elementów, toteż nie jest możliwe sprecyzowanie uniwersalnego okresu przechowywania danych. Dane osobowe przetwarzane w związku z zawartą umową można przetwarzać do czasu wygaśnięcia roszczeń z nią związanych. Z kolei dane osobowe przetwarzane w oparciu o przesłankę zgody osoby, której dane dotyczą, można przetwarzać jedynie do czasu cofnięcia tej zgody albo zrealizowania celu przetwarzania, natomiast dane osobowe przetwarzane w celu marketingu bezpośredniego mogą być przetwarzane do momentu wniesienia sprzeciwu, albo wygaśnięcia celu, w zależności od tego co wystąpi wcześniej.
Istotną kwestią jest określenie okresu retencji danych w rejestrze czynności przetwarzania oraz w klauzuli informacyjnej, zgodnie z przepisami prawa, uwzględniając przede wszystkim cel przetwarzania.
Podstawa prawna:
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1);