Polityka retencji danych osobowych zgodnie z RODO – czyli jak uregulować przechowywanie danych

Ograniczenie przechowywania danych osobowych

Dane osobowe należy przechowywać w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Tak brzmi zasada ograniczonego przechowywania będąca podstawową regułą ochrony danych osobowych (art. 5 ust. 1 lit. e RODO).

Retencja to inaczej „zatrzymywanie” czyli przechowywanie danych osobowych. Przechowywanie jest także przejawem przetwarzania.

Po upływie okresu retencji należy zaprzestać przetwarzania danych, a więc okresu przechowywania. Powinny być one usunięcie np. poddane anonimizacji. Dane poddane anominizacji tracą status danych osobowych, ponieważ nie pozwalają już identyfikację konkretnej osoby fizycznej. Oczywiście możliwe jest także trwałe usunięcie nośników tych danych

Od tej reguły przewidziane są wyjątki. Mianowicie dane osobowe można dalej przetwarzać, wyłącznie do celów:

• archiwalnych w interesie publicznym,

• badań naukowych lub historycznych,

• statystycznych (art. 89 ust. 1 RODO).

Usunięcie danych osobowych - kiedy konieczne

Obowiązek usunięcia danych osobowych powstaje w przypadku wystąpienia jednego z poniższych zdarzeń:

• zrealizowano cel, dla którego dane osobowe zostały zgromadzone (i wszystkie podstawy przetwarzania tych danych straciły aktualność),

• przetwarzane dane osobowe nie są już niezbędne do realizacji celu założonego przez administratora,

• dane osobowe były przetwarzane na podstawie zgody osoby, której dane dotyczą, a zgoda ta została skutecznie cofnięta,

• dane osobowe były przetwarzane w związku z realizacją prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, a podmiot tychże danych wniósł skuteczny sprzeciw względem ich przetwarzania.