ul. Kazimierza Wielkiego 1

Wrocław

+ 71 740 50 00

Obsługa klienta

Pon - Pt: 8:30 - 16:30

Godziny otwarcia

O mnie

Nazywam się Iwo Klisz, jestem adwokatem specjalizującym się w prawie ochrony danych osobowych oraz wspólnikiem zarządzającym w Kancelarii Klisz i Wspólnicy z Wrocławia, a także liderem zespołu prawników specjalistów w zakresie prawnej obsługi przedsiębiorców

więcej …

Kancelaria Klisz i Wspólnicy

ul. Joachima Lelewela 23/7
53-505 Wrocław

tel. kom. 695 560 425
tel. 71 740 50 00

e-mail: i.klisz@adwokat-wroclaw.biz.pl

O blogu

Główne Tematy

Retencja danych osobowych

Retencja danych osobowych

Co to jest retencja danych osobowych i jak ją stosować?

Zastanawiasz się przez jaki okres możesz przetwarzać dane osobowe? Słyszałeś o retencji danych osobowych ale nie wiesz, co ten termin oznacza? A może masz problem z wyznaczeniem okresów retencji? W artykule omówione zostaną następujące kwestie:

  • co oznacza termin retencja danych osobowych,
  • w jaki sposób należy określić okres retencji,
  • w jakich dokumentach wskazuje się okres retencji,
  • jakie są przykładowe okresy retencji danych osobowych.

Retencja danych osobowych

 Aby wyznaczyć okres legalnego przetwarzania danych osobowych, należy wziąć pod uwagę kilka czynników:

  • cel, w którym dane są przetwarzane,
  • podstawę prawną legalizującą przetwarzanie danych w tymże celu.

Zgodnie bowiem z ogólnym rozporządzeniem o ochronie danych [RODO] dane osobowe mogą być przetwarzane jedynie przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Koniec okresu owej niezbędność przetwarzania może wynikać natomiast z dwóch przesłanek:

  • osiągnięcie celu przetwarzania – np. gdy dane osobowe przetwarzane są przed zawarciem umowy w celu prowadzenia rokowań, zakończenie negocjacji i podpisane umowy czyni bezprzedmiotowym ten cel,
  • wygaśnięcia okresu legalnego przetwarzania danych wynikającego z przepisu prawa – np. jeżeli dane osobowe są przetwarzane w celu obrony przed potencjalnymi roszczeniami z tytułu wykonanej umowy, to upływ terminu przedawnienia powoduje wygaśnięcie tej podstawy prawnej.

Retencja danych osobowych wynika zatem z zasady ograniczonego przechowywania danych. Przykładowo, jeżeli dane osobowe przetwarzane są w związku z zawartą umową, to jej wygaśnięcie powoduje odpadnięcie tej przesłanki. W takim przypadku podstawę prawną stanowić może np. obowiązek ciążący na administratorze (np. przechowywania dokumentacji księgowej) – do czasu jego wygaśnięcia, bądź jego uzasadniony interes polegający na zabezpieczeniu możliwości dochodzenia roszczeń wynikłych z umowy (np. później ujawnione wady, gwarancja, itp.) – do czasu ich przedawnienia. Upływ stosownych okresów czyni koniecznym usunięcie danych osobowych, o ile rzecz jasna administrator nie dysponuje inną przesłanką legalizującą przetwarzanie danych osobowych.

Okresy przetwarzania danych osobowych

Okres retencji ustalamy zatem biorąc pod uwagę cel przetwarzania oraz podstawę prawną legalizującą przetwarzanie danych osobowych w tymże zakresie. Dla przykładu wskazać można na kilka okresów retencji danych:

  • dane osobowe zawarte w fakturach i rachunkach przetwarzane w związku z realizacją ciążących na administratorze danych obowiązków podatkowo-rachunkowych – 5 lat od zakończenia roku podatkowego, w którym dokument został wystawiony, w przypadku odnotowania straty, okres ten może ulec wydłużeniu o ilość lat, w których strata była rozliczana (maksymalnie 5 lat); natomiast w przypadku dokumentów księgowych związanych z amortyzowanym środkiem trwałym, nie mogą zostać one usunięte przed zakończeniem okresu amortyzacji,
  • dane osobowe pracowników na cele wynikające z prawa pracy – 50 lat od dnia ustania zatrudnienia, a dla pracowników zatrudnionych po 01.01.2019 r. 10 lat od dnia ustania zatrudnienia,
  • dane osobowe wynikające z umów cywilnoprawnych zawartych w ramach prowadzonej działalności gospodarczej – do czasu wykonania i rozliczenia umowy, a także przedawnienia roszczeń wynikających z umowy (okres przedawnienia 2-3 lata w zależności od rodzaju umowy), faktury i rachunki wystawiane przez kontrahentów przechowywane są zaś zgodnie z zasadami dla dokumentacji księgowej,
  • dane osobowe przetwarzane wyłącznie na podstawie zgody osoby, której dane dotyczą – do czasu cofnięcia udzielonej zgody oraz o ile administrator danych nie będzie posiadał innej przesłanki legalizującej dalsze przetwarzanie danych osobowych przez niego,
  • dane osobowe przetwarzane z uwagi na ich niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora w postaci marketingu bezpośredniego – do czasu wniesienia sprzeciwu względem przetwarzania danych w tym celu przez osobę, które dane dotyczą.

W przypadku, gdy administrator nie jest w stanie precyzyjnie wskazać okresu retencji, może poprzestać na wskazaniu przesłanek ustalenia tego okresu, tak jak to ma miejsce w powyższych przykładach. Wskazano w nich bowiem sposób określanie czasu przechowywania i przetwarzania danych osobowych, nie zaś konkretną datę, w której zostaną one przez administratora danych usunięte. Najbardziej widoczne jest to w dwóch ostatnich przykładach, gdy dokładne określenie daty usunięcia danych, a nawet jej przybliżonego czasookresu nie jest możliwe.

Odnotowywanie okresów retencji danych osobowych

RODO nakłada na administratora danych obowiązek wskazywania okresów retencji w kilku dokumentach:

  • informacji o przetwarzaniu danych osobowych udostępnianej osobie, której dane dotyczą. Przy czym jeżeli nie jest możliwe wskazanie dokładnego okresu, przez który dane osobowe będą przechowywane, wystarczające jest wskazanie kryteriów ustalania tego okresu, np. do upływu okresu przedawnienia,
  • rejestr czynności przetwarzania, w którym wskazuje się planowane terminy usunięcia poszczególnych kategorii danych osobowych, jeżeli takie wskazania jest możliwe.

Okresy retencji wprowadza się również niekiedy do umów powierzenia danych osobowych do przetwarzania. Stanowią one w takich przypadku źródło wiedzy dla podmiotu przetwarzającego o okresie, w jakim może on posługiwać się danymi osobowymi powierzonymi mu przez administratora.

pozdrawiam, adwokat Iwo Klisz

Mam nadzieję, że wyjaśniłem Tobie kilka rzeczy. Jeżeli zainteresował Cię artykuł, kliknij „Lubię to” lub polub moją stronę na facebooku (Facebook adwokat Wrocław). Dla Ciebie to tylko "kliknięcie", a dla mnie to dowód, że moja praca jest przydatna, co daje mi motywację do dalszego pisania :)