Jeden z moich klientów otrzymał niedawno od jednego ze swoich klientów wniosek o kopię swoich danych osobowych. Kopia została sporządzona – składała się z zestawu kilkudziesięciu faktur, klient uznał, że najprościej mu będzie te faktury po prostu zeskanować i wysłać – i przesłana klientowi. I jakież było zdziwienie mojego klienta, gdy niedługo po tym dotarła do niego informacja z Urzędu Ochrony Danych Osobowych, że oto została na niego złożona skarga przez tego samego klienta, który otrzymał kopię swoich danych osobowych. Skarga, dodajmy, związana ze zbyt długim przechowywaniem danych osobowych – bo oto okazało się, że klient miał w swych zasobach faktury od początku swojej działalności (bagatela, ponad 20 lat) i kopie tych faktur bezrefleksyjnie udostępnił klientowi.

Zacznijmy od początku – danych osobowych nie wolno przechowywać bez żadnego ograniczenia czasowego, czyli w nieskończoność. Jest to jedna z fundamentalnych zasad prawa ochrony danych osobowych, zwana zasadą ograniczenia przechowywania danych. Zasada ta dosłownie brzmi tak: „[dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”. Mamy więc konstrukcję, w której czas przechowywania danych osobowych jest wyznaczany przez cel przetwarzania tych danych: dane przechowujemy tak długo, jak jest to niezbędne do osiągnięcia celu przetwarzania. Nawiasem mówiąc, cel przetwarzania danych to podstawowa zmienna, która definiuje cały proces przetwarzania danych (na gruncie RODO zwany dla niepoznaki czynnością przetwarzania): cel wyznacza to, jakie dane zbieramy, cel ma wpływ na podstawę przetwarzania danych, cel – a precyzyjnie, jego zrealizowanie – wyznacza chwilę usunięcia danych.

Jak działa zasada ograniczenia przechowywania danych? Działa co najmniej na dwóch płaszczyznach:

a) w celu zapewnienia rozliczalności, czyli jako element dokumentacji ochrony danych osobowych,

b) w celu zapewnienia rzeczywistej zgodności z prawem, czyli uruchamiając proces usuwania danych.

Zasada ograniczenia przechowywania danych na poziomie dokumentacji ochrony danych osobowych to po prostu zapisanie w rejestrze czynności przetwarzania danych planowanych terminów usunięcia poszczególnych kategorii danych osobowych w ramach określonego procesu. Tylko skąd administrator danych ma wiedzieć, po jakim terminie powinien usunąć dane? Mamy w tym zakresie dwie możliwości:

a) okres przechowywania danych może zostać zapisany w powszechnie obowiązujących przepisach prawa,

b) okres przechowywania danych może zostać samodzielnie określony przez administratora danych.

Ta pierwsza sytuacja to po prostu przepis prawa, który mówi, jak długo przechowujemy dane w określonym celu. Przykładem takiego rozwiązania mogą być choćby te nieszczęsne faktury, które dały początek tym rozważaniom – otóż oryginały i kopie faktur VAT przechowujemy przez pięć lat od końca roku, w którym upłynął termin płatności podatku. Inny przykład to dane pracownicze – tu z kolei zasada jest taka, że dokumentację pracowniczą należy przechowywać przez okres zatrudnienia pracownika, a także przez okres dziecięciu lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł.

Jeżeli żaden przepis prawa nie określa, jak długo należy przechowywać określone kategorie danych osobowych, wówczas to administrator danych powinien ten okres zdefiniować samodzielnie. Zasadą jest, że dane przechowujemy przez cały czas istnienia celu ich przetwarzania – czyli jeżeli tym celem jest np. wykonywanie umowy najmu, wynajmujący przechowuje dane najemcy przez cały czas trwania umowy najmu; jeżeli dane są przetwarzane w celu marketingowym na podstawie zgody, tak długo, jak długo ta zgoda nie zostanie odwołana. Jeżeli ten cel ustanie, bo np. rozwiązano umowę najmu albo odwołano zgodę, oczywiście nie usuwamy danych od razu: jeżeli wystawiono fakturę, dane przechowujemy przez pięć lat itd. (patrz wyżej). Jeżeli natomiast faktury nie wystawiono i nie istnieją żadne przepisy, które nakazywałyby przechowywać dane przez określony okres czasu, pozostaje kwestia roszczeń: otóż zawsze może się zdarzyć tak, że najemca po zakończeniu umowy postanowi nas pozwać, twierdząc np., że nadpłacił czynsz; może się zdarzyć tak, że po odwołaniu zgody ktoś, komu wysyłaliśmy przez lata treści marketingowe, „przypomni sobie”, że jednak tej zgody nigdy nie wyraził, i też postanowi nas pozwać. A jak się bronić, nie mając danych? Dlatego podejmując decyzję o tym, kiedy usunąć dane, wypada uwzględnić jeszcze okres przedawnienia roszczeń, które mogą zostać podniesione wobec nas (albo które my możemy podnieść) w związku z takim przetwarzaniem.

Gdy już zdefiniujemy okres przetwarzania danych, pozostaje nam przejść do drugiej płaszczyzny działania zasady ograniczenia przechowywania danych, czyli do faktycznego usuwania danych po wymaganym okresie czasu. W małej organizacji można to robić ręcznie, choć na pewno preferowane będą rozwiązania automatyczne, bo tylko takie zapewniają powtarzalność i względną pewność, że dane zostaną rzeczywiście usunięte.

Bezpieczna firma musi więc wdrożyć rozwiązania zapewniające, że nie będzie przetwarzała danych osobowych w nieskończoność, bez żadnego ograniczenia czasowego. A niezależnie od tego, przesyłając klientowi kopię jego danych osobowych, radzę dwa razy się zastanowić nad tym, co w tej kopii się znajduje.

Autor jest adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów