Kontynuujemy serię poświęconą zasadom przetwarzania danych osobowych, które zostały uregulowane w art. 5 RODO. Tym razem przybliżona zostanie zasada „ograniczenie przechowywania”.
Została ona uregulowana w art. 5 ust. 1 lit. e RODO, zgodnie z którym dane osobowe muszą być: „przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą”.
„OGRANICZENIE PRZECHOWYWANIA” W PRAKTYCE
Zgodnie z zasadą „ograniczenie przechowywania” dane osobowe mogą być przechowywane tak długo, jak jest to niezbędne do realizacji celu, dla którego zostały zebrane. Po osiągnięciu tego celu administrator powinien je usunąć lub zanonimizować. Aby można było tego dokonać we właściwym momencie, administrator musi wcześniej jasno określić okres przechowywania danych (tzw. czas retencji). Bez takiego ustalenia osoby przetwarzające dane nie są w stanie jednoznacznie stwierdzić, kiedy dane powinny zostać usunięte bądź zanonimizowane. Czas retencji zawsze powinien być powiązany z celem przetwarzania, dlatego nie będzie on jednolity dla wszystkich procesów przetwarzania funkcjonujących w organizacji.
CZYM JEST ANONIMIZACJA
Anonimizacja polega na trwałym i nieodwracalnym przekształceniu danych w taki sposób, aby identyfikacja osoby fizycznej nie była możliwa. Dane skutecznie zanonimizowane przestają mieć charakter danych osobowych i nie podlegają przepisom RODO. Z uwagi na złożoność tego procesu oraz ryzyko ponownej identyfikacji, anonimizacja powinna być stosowana ostrożnie i po rzetelnej ocenie jej skuteczności.
Należy podkreślić, że skuteczna anonimizacja może być procesem trudnym do przeprowadzenia. Samo usunięcie oczywistych identyfikatorów często nie wystarcza, ponieważ postęp technologiczny oraz możliwość łączenia danych z różnych źródeł mogą umożliwiać odzyskanie informacji o tożsamości osoby, której one dotyczą. W sytuacjach, w których nie ma pewności co do skuteczności anonimizacji, bezpieczniejszym rozwiązaniem pozostaje usunięcie wszystkich danych. Nieskuteczna anonimizacja oznacza bowiem dalsze przetwarzanie danych osobowych i prowadzi do naruszenia przedmiotowej zasady.
JAK USTALIĆ CZAS PRZECHOWYWANIA DANYCH
W wielu przypadkach ustalenie okresów retencji wynika wprost z przepisów prawa. Przykładowo ustawa o rachunkowości określa minimalny obowiązkowy okres przechowywania ksiąg rachunkowych i dokumentów księgowych wynoszący 5 lat, natomiast przepisy prawa pracy przewidują dziesięcioletni okres przechowywania dokumentacji pracowniczej. Z kolei regulacje dotyczące ubezpieczeń społecznych nakładają obowiązek przechowywania dokumentów w określonych przypadkach nawet przez 50 lat, a w innych przez 10 lat, licząc od zakończenia stosunku pracy.
Sytuacja staje się bardziej złożona wówczas, gdy przepisy szczególne nie wskazują jednoznacznie okresu przetwarzania danych osobowych. W takich przypadkach administrator powinien samodzielnie ustalić czas retencji, np. regulacjami wewnętrznymi.
WYJĄTKI I ZASTOSOWANIE PSEUDONIMIZACJI
Zasada ograniczenia przechowywania nie ma charakteru absolutnego. RODO przewiduje sytuacje, w których dane osobowe mogą być przechowywane przez okres dłuższy niż pierwotnie zaplanowano. Dotyczy to przypadków, gdy dane są przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, badań naukowych lub historycznych albo do celów statystycznych. W takich sytuacjach administrator musi jednak wdrożyć odpowiednie środki techniczne i organizacyjne, które ograniczają możliwość identyfikacji osób (takie jak np. pseudonimizacja).
Pseudonimizacja (jako środek techniczny i organizacyjny, o którym mowa w art. 89 ust. 1 RODO) polega na zastąpieniu bezpośrednich identyfikatorów innymi oznaczeniami (np. numerem, kodem lub skrótem), przy jednoczesnym zachowaniu możliwości ponownej identyfikacji osoby po sięgnięciu do dodatkowych informacji. Z tego względu dane spseudonimizowane nadal stanowią dane osobowe i podlegają przepisom RODO, choć ich przetwarzanie wiąże się z mniejszym ryzykiem naruszenia praw i wolności osób, których one dotyczą.
Znaczenie pseudonimizacji należy zawsze oceniać w kontekście konkretnego procesu przetwarzania. W praktyce nie wystarczy samo zastosowanie tego środka – istotne jest, jakie informacje pozostają w dyspozycji administratora oraz jakie możliwości ich wykorzystania na jakim etapie procesu faktycznie istnieją. Aby pseudonimizacja spełniała swoją funkcję ochronną, identyfikatory jednoznacznie określające tożsamość osoby powinny być przechowywane „z dala” od danych spseudonimizowanych, najlepiej w formie zaszyfrowanej.
PODSUMOWANIE
Zgodnie z zasadą „ograniczenie przechowywania” administrator powinien dbać o to, aby dane osobowe nie były przetwarzane dłużej, niż jest to niezbędne do realizacji celu, w którym zostały zebrane. Wymaga to świadomego i udokumentowanego określenia okresów retencji i ich powiązania z celami przetwarzania. Administrator powinien także monitorować, czy cel przetwarzania nadal istnieje, a w razie jego osiągnięcia lub utraty, niezwłocznie podjąć decyzję o usunięciu lub anonimizacji danych.
Osoby zainteresowane pogłębioną analizą tematu, więcej informacji mogą znaleźć w tym artykule.