Artykuł ten stanowi kontynuację serii dotyczącej podstawowych zasad przetwarzania danych osobowych (art. 5 RODO), którą rozpoczęliśmy na naszym blogu jakiś czas temu. Tym razem poruszony zostanie temat zasady ograniczenia przechowywania danych osobowych. Czytelnicy z czwartego odcinka tej serii będą mogli się dowiedzieć:
Czym jest oraz na czym polega „ograniczenie przechowywania”?
Jakie obowiązki ta zasada nakłada na administratora?
Jak właściwe określić czas retencji, czyli okres przechowywania danych?
Jakie istnieją wyjątki od zasady ograniczenia przechowywania?
Jaki zachodzi związek pomiędzy zasadą ograniczenia przechowywania danych a innymi obowiązkami wynikającymi z RODO?
Jakie skutki może pociągać za sobą nieprzestrzeganie przepisów dotyczących właściwej retencji danych?
Czym jest oraz na czym polega „ograniczenie przechowywania”?
RODO narzuciło wiele restrykcji dotyczących sposobu pozyskiwania i przechowywania danych, które dotyczą osób fizycznych. Jednym z podstawowych założeń jest to, że dane te nie mogą być przechowane bezterminowo. Omawiana zasada dotyczy informacji, które są danymi osobowymi w rozumieniu RODO. Pamiętajmy o tym, że dane osobowe to nie tylko imię i nazwisko, ale też szereg rozmaitych identyfikatorów, na podstawie których jesteśmy w stanie bezpośrednio lub pośrednio utożsamić konkretną osobę fizyczną. Prawodawca unijny, zgodnie z definicją danych osobowych zawartą w przepisach RODO, do informacji takich zalicza: „imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. Ponadto wszelkie informacje dotyczące tak zidentyfikowanej osoby również są danymi osobowymi. Tak więc do czasu, kiedy jesteśmy w stanie identyfikować osobę fizyczną na podstawie w/w cech, dopóty wszystkich danych na jej temat dotyczy zasada ograniczenia przechowywania.
Zasada ta jest jedną z podstawowych zasad przetwarzania danych osobowych. Została ona ustanowiona w art. 5 ust. 1 lit. e RODO. Ma na celu zapobiegać przetwarzaniu przez administratorów tych danych, które nie są im niezbędne do realizacji celów związanych z konkretną osobą fizyczną. Zgodnie z tą zasadą dane muszą być „przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”. Prawodawca unijny nie narzucił konkretnego czasu przechowywania danych. Administrator danych osobowych ma więc swobodę oceny wymiaru czasu ich przechowywania. Jednak jest on ograniczony do celów, dla których dane są przetwarzane. Przepis ten przypomina administratorowi, że dane należy usunąć (lub zanonimizować) w momencie, gdy cel został zrealizowany.
Nie oznacza to bezwzględnego braku możliwości przechowywania danych przez okres dłuższy. Więcej informacji o wyjątkach od zasady ograniczenia przechowywania znajdziecie Państwo w dalszej części artykułu.
Jakie obowiązki ta zasada nakłada na administratora?
Prowadzenie przedsiębiorstwa wiąże się z gromadzeniem wielu danych osobowych, które mogą znaleźć się na różnego rodzaju nośnikach. Dane przechowywane w formie papierowej z reguły nie powinny stwarzać problemu w zarządzaniu nimi. Przykładowo, gdy faktury pochodzące z danego roku obrotowego przechowywane są w jednym segregatorze, po upłynięciu ustawowego okresu retencji możemy zlikwidować cały skoroszyt. Zarządzanie informacjami znajdującymi się na nośnikach elektronicznych jest dużo trudniejsze. Dane znajdują się często w różnych lokalizacjach, na wielu dyskach. Trudno więc na bieżąco weryfikować ich czas retencji. Jeśli administrator nie korzysta z automatycznych lub choćby organizacyjnych mechanizmów cyklicznego usuwania danych, to możliwa jest sytuacja, że dane będą znajdować się na serwerze nawet bezterminowo. Dużym ułatwieniem będzie wykorzystanie systemowych mechanizmów przypominających o konieczności usunięcia danych lub wręcz usuwających je automatycznie po ustalonym okresie retencji. Nieco gorszym rozwiązaniem, ale niezbędnym jeśli nie mamy elementów automatyzujących, będzie przeprowadzenie co pewien czas (np. z początkiem każdego roku) analizy, czy przechowywane dane są wciąż potrzebne.
Administrator jest zobowiązany niezwłocznie i nieodwracalnie usunąć dane, których potrzeby przechowywania nie jest w stanie rozsądnie uzasadnić (np. wskazując prawnie uzasadniony interes). Dotyczy to informacji przechowywanych zarówno w formie papierowej, jak i elektronicznej. Przepisy RODO nie narzucają formy oraz czasu dokonania czynności usunięcia niepotrzebnych danych. Jednak czynność ta musi zostać wykonana w sposób skuteczny. Warto zaznaczyć, że samo skasowanie w prosty sposób pliku (przez naciśnięcie klawisza „Delete”) nie powoduje jego trwałego usunięcia. Pliki są wówczas przenoszone do „kosza”, skąd następnie łatwo można je odzyskać. Opróżnianie zawartości „kosza” również nie jest wystarczające. Plik wciąż jest dostępny na dysku, tracona jest jedynie jego „lokalizacja”, którą można ponownie ustalić np. poprzez użycie programu do odzyskiwania danych i za jego pomocą odtworzyć usunięte pliki. Aby w prawidłowy sposób usunąć dane i tym samym spełnić obowiązek wynikający z omawianej zasady, należy skorzystać z narzędzi służących do usuwania danych. Powodują one, że proces usuwania jest nieodwracalny. Przestrzeń dyskowa, w której znajdują się pliki zostaje dodatkowo kilkukrotnie nadpisana losową treścią (kombinacją zer i jedynek), przez co nie jest już możliwe ponowne pozyskanie tak skasowanego pliku.
Jak właściwe określić czas retencji, czyli okres przechowywania danych?
Moment usuwania informacji zależny jest od określenia czasu retencji, czyli okresu przechowywania danych. Po prostu pracownicy administratora nie będą wiedzieli, kiedy należy usunąć dane, jeżeli wcześniej nie określono czasu ich retencji. Ustalenie tego okresu uzależnione jest oczywiście od celu przetwarzania danych osobowych. Dlatego też czas przechowywania nie będzie jednolity w przypadku różnych zbiorów danych, czy też procesów przetwarzania.
W dużej mierze do ustalenia okresów retencji posłuży analiza przepisów prawa dotyczących danego przedsiębiorstwa. Przykładowo Prawo o rachunkowości zawiera zapisy regulujące minimalny okres przechowywania ksiąg rachunkowych i dokumentów księgowych. Okres przechowywania dokumentacji pracowniczej wynika wprost z przepisów prawa pracy i wynosi 10 lat. Ustawa o emeryturach i rentach z funduszu ubezpieczeń społecznych zobowiązuje płatnika składek do przechowywania dowodów, na podstawie których następuje ustalenie podstawy wymiaru emerytury, przez okres 50 lat, a w pewnych przypadkach przez 10 lat. Okres ten liczony jest od dnia zakończenia stosunku pracy ubezpieczonego.
Sytuacja jest bardziej skomplikowana, gdy w przepisach prawa brak jest wskazań konkretnych okresów przetwarzania danych osobowych. W przypadku braku szczegółowych regulacji w tym zakresie należy stosować zalecenia ogólne wynikające z RODO. Wyznaczenie okresu przechowywania danych powinno zostać dokonane przez pracowników dysponujących pełną wiedzą o danym procesie przetwarzania, w szczególności o tym kiedy osiągane są w nim poszczególne cele.
Specyficzny okres przechowywania i wykorzystywania danych wiąże się z ich przetwarzaniem opartym na zgodzie. W Polsce przyjęło się, że zgoda jest ważna do czasu jej wycofania, a zatem okres retencji w takim przypadku zależny jest od działania podmiotu danych. Warto jednak wiedzieć, że nie we wszystkich krajach zgoda jest bezterminowa. Przykładowo w Wielkiej Brytanii, w której pomimo brexitu wciąż stosuje się przepisy RODO, powinno się co pewien czas (co rok lub dwa) „odświeżać” zgodę, pytając osoby czy się nie rozmyśliły. Jest to szczególnie istotne, jeśli już od dłuższego czasu nie kontaktowano się z podmiotem danych i nagła komunikacja będzie dla niego zaskoczeniem. W takim przypadku, warto przy okazji przypomnieć odbiorcy wiadomości (np. marketingowej), jakie są cele i przesłanki kontaktu oraz o prawie do cofnięcia zgody, co zakończyłoby przetwarzanie dla tych celów. A jeśli innych celów administrator również już nie realizuje, byłoby to równoznaczne z zakończeniem okresu przechowywania danych osobowych.
Jakie istnieją wyjątki od zasady ograniczenia przechowywania?
Od zasady ograniczenia przechowywania danych istnieją wyjątki, wynikające wprost z RODO. Zgodnie z art. 5 ust. 1 lit. e „dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych”. Warunkiem koniecznym jest wdrożenie odpowiednich środków technicznych i organizacyjnych, przewidzianych w RODO. Jednym z nich może być pseudonimizacja. Polega ona na przetwarzaniu danych osobowych w taki sposób, aby nie było bezpośrednio możliwe zidentyfikowanie osoby, której dane te dotyczą. Zgodnie z opinią 05/2014 w sprawie technik anonimizacji Grupy Roboczej art. 29 (obecnie EROD ) pseudonimizacja nie zapewnia pełnej anonimowości danych, ale jest użytecznym środkiem bezpieczeństwa. W odróżnieniu od anonimizacji, pseudonimizacja jest procesem odwracalnym.
Zasada ograniczenia przechowywania danych dotyczy informacji będących danymi osobowymi. Nie dotyczy już ona jednak danych zanonimizowanych, o ile zapewnimy, że anonimizacja była skuteczna i wykorzystujemy dane nie-osobowe. Zgodnie z motywem 26 RODO „Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować”. Dane zanonimizowane mogą posłużyć m.in. do celów statystycznych, a więc mogą być wykorzystywane do obserwacji pewnych trendów w perspektywie bardzo długiego czasu.
Skuteczna anonimizacja nie jest jednak łatwa w realizacji. Nie wystarczy usunięcie oczywistych identyfikatorów, dzięki którym jesteśmy w stanie ustalić właściciela danych. Aktualnie istnieje wiele prac naukowych, w których podjęto temat odwracania procesu anonimizacji (np. praca sześciu naukowców z Chińskiego Uniwersytetu Tsinghua). W wyniku tych badań ustalono, że posiadając zanonimizowane bazy operatorów telekomunikacyjnych z USA, Włoch oraz Chin naukowcy są w stanie zidentyfikować tożsamość użytkowników z dokładnością 73% – 91% na skali dziesiątek tysięcy do setek tysięcy użytkowników. Badania jednoznacznie wskazują na zagrożenie dla prywatności wynikające z istnienia zbiorów danych „zanonimizowanych” w sposób nieskuteczny.
Jak więc przeprowadzić anonimizację w sposób skuteczny? Postęp technologiczny, a w szczególności zwiększenie mocy obliczeniowej komputerów i funkcjonowanie algorytmów sztucznej inteligencji oraz dobrowolne udostępnianie szerokiego zakresu danych (np. na portalach społecznościowych), umożliwia ustalenie tożsamości danej osoby poprzez łączenie danych z różnych źródeł. Prawdopodobnie nie da się w 100% potwierdzić, czy dany proces anonimizacji jest skuteczny. Dlatego jeżeli nie mamy pewności, co do skuteczności anonimizacji to najlepszym rozwiązaniem będzie usunięcie danych, w tym „wyczyszczenie” wszystkich pól z pojedynczego rekordu w bazie. Wówczas pomimo, że rekord i jego techniczny identyfikator pozostaną w bazie danych, to mamy pewność, że nie będzie można ustalić jakiej osoby dane były w nim przechowywane. Warto podkreślić, że przeprowadzenie anonimizacji w sposób nieskuteczny powoduje niespełnienie obowiązku ograniczenia przechowywania.
Jaki zachodzi związek pomiędzy zasadą ograniczenia przechowywania danych a innymi obowiązkami wynikającymi z RODO?
Zasada ograniczenia przechowywania danych, jak prawie każda z zasad wynikających z art. 5 RODO, ma przełożenie na inne wymagania zapisane w tym rozporządzeniu. Administratorzy mają m.in. obowiązek prowadzenia rejestru czynności przetwarzania (RCP). Prawodawca unijny w art. 30 RODO wskazał obligatoryjne elementy, które powinny znaleźć się w treści rejestru. Wśród nich znajduje się planowany termin usunięcia danych osobowych.
Zasada ograniczenia przechowywania danych ma również swoje przełożenie na prawidłowe spełnienie obowiązku informacyjnego względem osób, których dane dotyczą. W klauzuli informacyjnej należy podać m.in. okres, przez który dane będą przechowywane lub kryteria ustalania tego okresu. Zgodnie z wytycznymi Grupy Roboczej art. 29 dotyczącymi przejrzystości na mocy RODO (WP260 rev.01), „Okres przechowywania (lub kryteria jego ustalania) może być podyktowany takimi czynnikami, jak wymogi ustawowe lub wytyczne branżowe, jednak informacja o nim powinna być sformułowana w taki sposób, aby osoba, której dane dotyczą, miała możliwość ocenienia – na podstawie własnej sytuacji – ile będzie trwał okres przechowywania w przypadku określonych danych/celów.” Niewystarczające jest więc stwierdzenie (dość często spotykane w różnych klauzulach), że dane będą przechowywane tak długo, jak jest to niezbędne do celów przetwarzania.
Jakie skutki może pociągać za sobą nieprzestrzeganie przepisów dotyczących właściwej retencji danych?
Nieprzestrzeganie przepisów dotyczących właściwej retencji danych osobowych może skutkować nałożeniem administracyjnej kary pieniężnej. Zgodnie z art. 83 ust. 5 lit. a RODO grzywna ta może wynosić do 20 000 000 euro, a w przypadku przedsiębiorstwa nawet do 4% jego całkowitego rocznego obrotu z roku poprzedniego. W 2019 roku duński organ nadzorczy nałożył karę za nieprzestrzeganie zasady ograniczenia przechowywania danych. Firma produkująca i sprzedająca meble przechowywała na dyskach dane osobowe 385 tysięcy byłych klientów. Czas usunięcia tych danych nie został określony, dlatego mogłyby być one przechowywane nawet bezterminowo. Nałożona sankcja wynosiła 1,5 miliona koron duńskich, czyli około 800 tyś. zł.
Niezwykle ważne jest więc aktywne stosowanie zasady ograniczenia przechowywania. Nie wystarczy respektowanie jej „od przypadku do przypadku”. Przede wszystkim należy w sposób precyzyjny określić i zapisać w RCP terminy usuwania danych. Jeśli nie ma możliwości zautomatyzowania tych działań, warto określić stały termin przeglądu przechowywanych danych pod kątem ociągnięcia celu, dla którego zostały zebrane (np. w styczniu każdego roku). Dobrym rozwiązaniem będzie używanie w systemach narzędzi przypominających o konieczności usunięcia danych lub identyfikujących dane do usunięcia. W dokumentacji systemu ochrony danych osobowych powinny zostać opisane skuteczne metody usuwania danych, ponieważ nie we wszystkich systemach jest to łatwe do wykonania. Pełną rozliczalność realizacji omawianej zasady można osiągnąć poprzez gromadzenie protokołów z cyklicznego usuwania danych lub logów systemowych, które to potwierdzają. Udokumentowanie tych działań będzie zwieńczeniem dążenia do zgodności z RODO w zakresie ograniczenia przechowywania danych osobowych.