Retencja danych osobowych – przechowywanie danych osobowych w ograniczonym horyzoncie czasowym

Artykuł 5 RODO wymaga, aby dane osobowe były zbierane w wyraźnie określonym i prawnie uzasadnionym celu. Ponadto, nie mogą być przetwarzane dalej w sposób niezgodny z wyżej wskazanymi celami.

Retencja danych osobowych – przechowywanie danych osobowych w ograniczonym horyzoncie czasowym

Rafał Stępniewski

20 lutego 2018

Artykuł 5 RODO wymaga, aby dane osobowe były zbierane w wyraźnie określonym i prawnie uzasadnionym celu. Ponadto, nie mogą być przetwarzane dalej w sposób niezgodny z wyżej wskazanymi celami. Po zakończeniu przetwarzania, dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora (np. przekazane do archiwum państwowego).

Retencja danych osobowych to zagadnienie, które jest ściśle powiązane z obowiązkami informacyjnymi ADO. Dzięki systematycznemu nadzorowaniu zawartości zbiorów, może on stwierdzić, czy upoważenie do przetwarzania określonych danych nadal obowiązuje lub czy zachodzi konieczność usunięcia danych zbędnych.

Prawo do „bycia zapomnianym”

Jak wynika z art. 17 RODO, osoba, której dane dotyczą może – w określonych przypadkach – żądać „bycia zapomnianym”.

W przypadku wniosku o usunięcie danych obowiązkiem ADO jest usunięcie ich z bazy bez zbędnej zwłoki. Zazwyczaj ma to związek z nastepującymi przesłankami:

  1. cele, w których dane zostały zebrane lub przetwarzane zostały już osiągnięte (np. zakończona rekrutacja);
  2. brak podstawy prawnej do dalszego przetwarzania danych (żądanie bycia zapomnianym);
  3. zgłoszenie sprzeciwu wobec przetwarzania danych osobowych:

a) wobec przetwarzania danych konkretnej osoby opartego na interesie publicznym lub prawnie uzasadnionych interesach (nie ma podstaw prawnych umożliwiających przetwarzanie);

b) wobec przetwarzania danych na potrzeby marketingu bezpośredniego;

  1. przetwarzanie danych odbywało się niezgodnie z prawem;
  2. prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator nakłada na niego obowiązek usunięcia danych osobowych;
  3. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

Wyłączenia prawa do bycia zapomnianym

Prawo do bycia zapomnianym nie ma zastosowania, jeśli przetwarzanie danych jest niezbędne:

1) do korzystania z prawa do wolności wypowiedzi i informacji;

2) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

3) z uwagi na:

a) cele zdrowotne; oraz

b) interes publiczny w dziedzinie zdrowia publicznego;

4) do celów archiwalnych

5) do ustalenia, dochodzenia lub obrony roszczeń.

Usuwanie danych upublicznionych

Zgodnie z art. 17 ust. 2. RODO jeśli na administratorze ciąży obowiązek usunięcia danych osobowych, powinien dołożyć wszelkich starań, aby tego dokonać.

Ponadto, administrator ma obowiązek poinformowania innych administratorów przetwarzających dane osobowe o konieczności ich usunięcia. Jest to zapis wzmacniający prawo do „bycia zapomnianym” w Internecie.

Warto dodać, że osoba, która udzieliła zgody na przetwarzanie danych osobowych jako dziecko, również ma prawo do ich usunięcia. Wskazuje się, że dziecko nie jest w pełni świadomie ryzyka związanego z przetwarzaniem danych.

Obowiązki ADO

W celu właściwego zarządzania danymi osobowymi, ich administrator powinien:

  1. określić okres przechowywania danych
  2. oszacować okres przechowywania danych już w chwili ich pozyskania
  3. poinformować zainteresowane osoby o przewidywanym okresie przechowywania danych

Jeśli z różnych przyczyn, administrator nie jest w stanie powiedzieć wprost, jaki jest okres przetwarzania danych, powinien wskazać kryteria ustalania tego okresu – np. wykonanie umowy.

 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!