Demo

Jak długo można przechowywać dane osobowe?

Napisane przez Fabryka, . Opublikowano w Blog

Przechowywanie danych osobowych to jedno z kluczowych zagadnień współczesnego zarządzania informacją. W dobie cyfryzacji, automatyzacji procesów i rosnącej liczby przepisów regulujących ochronę danych, organizacje muszą wiedzieć, jak długo można przechowywać dane osobowe zebrane i kiedy należy je usunąć. Obowiązki w tym zakresie określa przede wszystkim rozporządzenie RODO, czyli ogólne rozporządzenie o ochronie danych.

Zasady przechowywania danych osobowych

RODO nie wskazuje konkretnego czasu, przez jaki dane mogą być przechowywane, ale nakłada obowiązek, by były przetwarzane wyłącznie przez okres niezbędny do realizacji celu przetwarzania. Jest to tzw. zasada ograniczenia przechowywania – dane nie powinny być przechowywane bezterminowo, chyba że istnieją ważne przesłanki prawne, jak np. interes publiczny, potrzeby badań naukowych lub celów archiwalnych.

Administratorzy muszą przyjąć politykę retencji danych, a także prowadzić okresowego przeglądu danych osobowych, by zapewnić prawidłowe przechowywanie danych osobowych. Po osiągnięciu celu dane muszą być usunięte lub zanonimizowane.

Skorzystaj z profesjonalnej archiwizacji dokumentów

Obowiązki administratora danych

Każdy administrator danych ma obowiązek ustalić i dokumentować okres przechowywania danych dla każdego zbioru. W szczególności dotyczy to przypadków takich jak: dane osobowe pracowników, dane klientów i kontrahentów, dane marketingowe, dokumentacja pracownicza oraz dane osobowe zebrane w celach rekrutacyjnych. Ponadto ciąży na nim obowiązek poinformowania osoby, której dane dotyczą, o tym, jak długo jej dane będą przechowywane oraz o kryteriach ustalania tego okresu.

Obowiązki administratora danych obejmują również zapewnienie, że dane są przechowywane wyłącznie przez czas niezbędny do realizacji celu, w jakim zostały zebrane. W przypadku zakończenia celu przetwarzania, dane powinny zostać usunięte lub zanonimizowane. Administrator musi także na bieżąco weryfikować i aktualizować polityki retencji danych, zgodnie z przepisami RODO i charakterem prowadzonej działalności. Dodatkowo powinien zagwarantować, że informacje o okresie przechowywania danych są łatwo dostępne i zrozumiałe dla osób, których dane dotyczą – najczęściej poprzez odpowiednie klauzule informacyjne.

Przykładowe okresy przechowywania danych

Przykładowe okresy przechowywania danych różnią się w zależności od celu ich przetwarzania oraz obowiązujących przepisów prawa. Dane kandydatów do pracy, pracowników, klientów czy kontrahentów powinny być przechowywane tylko tak długo, jak jest to niezbędne – np. przez czas trwania rekrutacji, umowy lub do upływu terminu przedawnienia roszczeń. Dla niektórych kategorii, takich jak dokumentacja pracownicza czy dane księgowe, przepisy przewidują konkretne, często wieloletnie okresy retencji.

Dane kandydatów do pracy

Dane osobowe kandydatów zebrane w trakcie rekrutacji mogą być przetwarzane wyłącznie przez okres niezbędny do zakończenia konkretnego procesu rekrutacyjnego, jeżeli kandydat nie wyraził zgody na dalsze przetwarzanie. Po jego zakończeniu dane powinny zostać usunięte lub zanonimizowane. W przypadku, gdy kandydat zgodzi się na udział w przyszłych procesach rekrutacyjnych, jego dane mogą być przechowywane przez okres określony w polityce rekrutacyjnej – zazwyczaj do 12 miesięcy. Po tym czasie administrator powinien ponownie uzyskać zgodę lub usunąć dane. W obu przypadkach zalecana jest regularna weryfikacja aktualności i adekwatności przetwarzanych informacji.

Dane osobowe pracowników

Dane osobowe pracowników oraz dokumentacja związana ze stosunkiem pracy muszą być przechowywane zgodnie z obowiązującymi przepisami prawa pracy, w tym rozporządzeniem Ministra Rodziny, Pracy i Polityki Społecznej. Akta osobowe pracowników zatrudnionych po 1 stycznia 2019 roku należy przechowywać przez okres 10 lat od zakończenia zatrudnienia. Dokumenty podatkowe, w tym PIT-y oraz inne dowody wypłat i potrąceń, muszą być przechowywane przez co najmniej 5 lat, licząc od końca roku podatkowego. 

Z kolei dokumentacja związana z ubezpieczeniem społecznym (np. ZUS) powinna być archiwizowana zgodnie z przepisami szczególnymi. W przypadku pracowników zatrudnionych przed 2019 rokiem, dla których nie wdrożono elektronicznego systemu zarządzania dokumentacją, okres przechowywania może wynosić nawet 50 lat. Administrator powinien dbać o bezpieczeństwo, integralność i dostępność tych danych przez cały okres przechowywania.

Dane klientów i kontrahentów

Dane klientów oraz kontrahentów, w tym dane niezbędne do realizacji umów handlowych, powinny być przechowywane przez okres trwania współpracy oraz przez czas potrzebny do zabezpieczenia ewentualnych roszczeń cywilnoprawnych. Zwykle oznacza to okres od 3 do 6 lat, zależnie od rodzaju umowy i przepisów o przedawnieniu roszczeń. W przypadku danych wykorzystywanych do celów księgowych, zastosowanie ma 5-letni termin wynikający z ustawy o rachunkowości, liczony od końca roku obrotowego, którego dane dotyczą. Dodatkowo dane te mogą być przechowywane dłużej, jeżeli istnieje uzasadniona potrzeba wynikająca z toczących się postępowań sądowych, podatkowych lub kontrolnych.

Warto również pamiętać, że dane klientów i kontrahentów wykorzystywane wyłącznie do działań marketingowych mogą być przetwarzane jedynie do czasu wycofania zgody przez osobę, której dane dotyczą, lub wniesienia przez nią sprzeciwu wobec dalszego przetwarzania. Administrator danych powinien posiadać procedury pozwalające na skuteczne zarządzanie zgodami oraz umożliwiające szybkie usunięcie danych w przypadku ich cofnięcia.

Specjalne przypadki przechowywania danych

W niektórych sytuacjach dane mogą być przechowywane dłużej:

  • w interesie publicznym, np. dane medyczne, dane dotyczące zdarzeń prawnych,
  • do celów archiwalnych, gdy są one ważne historycznie lub kulturowo,
  • w ramach badań naukowych i analiz statystycznych – pod warunkiem spełnienia wymogów ochrony danych.

Dane mogą być wtedy przechowywane bezterminowo, jednak nie w formie umożliwiającej identyfikację osoby, chyba że istnieje ważna podstawa prawna. W takich przypadkach administrator musi zapewnić odpowiednie środki zabezpieczające, w tym pseudonimizację lub anonimizację danych. Przechowywanie danych w tych celach wymaga szczególnej staranności oraz oceny ryzyka dla praw i wolności osób, których dane dotyczą.

Usuwanie danych osobowych

Po osiągnięciu celu przetwarzania, dane powinny zostać usunięte. Proces ten powinien być odpowiednio udokumentowany. Administrator musi wykazać, że zastosował adekwatne środki, by zapobiec przechowywaniu danych osobowych ponad wymagany czas.

W niektórych sytuacjach zamiast usunięcia można dane zanonimizować, jeżeli potrzebne są np. do celów statystycznych lub analiz. W każdej sytuacji nie można ich już przechowywać dłużej w sposób umożliwiający identyfikację osoby.

Przepisy RODO a długość przechowywania danych

Rozporządzenie RODO nie wskazuje limitu wprost, ale nakłada obowiązek dostosowania okresu przechowywania danych do konkretnego celu. Oznacza to, że nie wolno trzymać danych „na zapas” ani przechowywać danych klientóww nieskończoność. Praktyką powinno być ustalenie harmonogramów usunięcia danych oraz okresów retencji danych osobowych, zależnych od charakteru i wagi danych.

W szczególności należy pamiętać o:

  • ścisłym określeniu formy umożliwiającej identyfikację osoby,
  • uwzględnieniu przypadku zakresu danych oraz ich wrażliwości,
  • zasadzie ograniczonego i prawidłowego przechowywania,
  • ochronie wolności osób, których dane dotyczą.

Podsumowanie

To, jak długo można przechowywać dane osobowe, zależy od wielu czynników – celu ich przetwarzania, rodzaju danych, przepisów szczególnych i potencjalnych roszczeń. W każdej organizacji powinna istnieć polityka retencji danych, dostosowana do wewnętrznych procesów i zgodna z przepisami RODO oraz innymi ustawami.

Dane powinny być przechowywane wyłącznie przez określony czas, nie dłużej niż jest to konieczne do realizacji celu. Dzięki temu organizacje nie tylko spełniają wymagania prawne, ale także chronią reputację, unikają interwencji organu nadzorczego i dbają o bezpieczeństwo danych oraz wolności osób, których dane przetwarzają.

SYSTEM AD SP. J. | 03-450 Warszawa | ul. Ratuszowa 11
Tel/fax: 22 618-73-77 | e-mail: system@system.waw.pl
www.archiwizacjadokumentow.com.pl | www.teczkibezkwasowe.pl

Usługi

Archiwizacja dokumentów
Niszczenie dokumentów
Przechowywanie dokumentów (outsourcing)
Przechowywanie dokumentacji pracowniczej – likwidacje, upadłości
Szkolenia z zakresu zarządzania dokumentacją
Obsługa archiwum klienta
Skanowanie dokumentów
Relokacja/Transport dokumentów i archiwów
Przechowywanie dokumentacji kadrowo – płacowej 
Utylizacja dokumentów

Materiały do archiwizacji

Teczki bezkwasowe
Pudła z tektury litej bezkwasowej
Pudła archiwizacyjne z tektury fallistej | Archivboxy
Akcesoria archiwizacyjne
Klipsy archiwizacyjne
Koperty na dokumenty

Baza wiedzy

Aktualności i ciekawostki
Słownik archiwalny
Podstawy prawne