Jednym z częściej zadawanych mi pytań jest właśnie to, którym postanowiłem przyjąć jako tytuł tego artykułu. Jak długo przechowywać dane osobowe? To oczywiście zależy, ale są różne metody ustalania tego okresu. W tym wpisie podpowiem Ci, czym możesz kierować się przy jego ustalaniu i jakie mogą być konsekwencje dłuższego przechowywania danych osobowych.
Przechowywanie danych osobowych jest ich przetwarzaniem
Zacznę jednak od jeszcze innej kwestii. Dość powszechnym twierdzeniem administratorów jest następujące: Ja to w sumie danych osobowych nie przetwarzam. Co administrator ma w takiej sytuacji na myśli? Najczęściej to, że wprawdzie dane osobowe posiada, ale ich czynnie nie wykorzystuje. Pamiętaj jednak, że samo przechowywanie danych, choćby zapieczętowanych i ukrytych w odmętach archiwum, to także ich przetwarzanie.
Należy więc przyjąć, że jeżeli posiadasz np. bazę danych potencjalnych lub byłych klientów, dokumentację pracowniczą, czy CV na potrzeby przyszłych rekrutacji, to przetwarzasz dane w nich zawarte. Nie ma znaczenia to, że akurat w tym momencie nie wykonujesz na nich innych czynności. Przetwarzasz dane osobowe, a więc powinieneś dysponować do tego podstawą. Ta jest istotna w określeniu czasu przechowywania, dlatego za chwilę do niej wrócimy.
Jak ustalić okres przechowywania danych osobowych?
To, jak długo możesz przechowywać dane osobowe może wynikać z wielu czynników. Podstawą do ustalenia okresu przechowywania jest określenie celu przetwarzania danych osobowych. To od niego będzie zależeć kiedy dane powinny zostać usunięte. RODO stanowi, że dane osobowe nie powinny być przechowywane dłużej niż jest to niezbędne do realizacji celu ich przetwarzania. Jakie mogą być cele?
Celem przetwarzania mogą być wszelkie bieżące działania, jak prowadzenie dokumentacji pracowniczej, zawieranie umów, czy – w przypadku administracji – postępowań administracyjnych. W placówkach medycznych celem przetwarzania danych może być udzielanie świadczeń zdrowotnych i dokumentowanie ich w dokumentacji medycznej. Warto pamiętać, że realizacja tego celu nie musi się wiązać z koniecznością pozbycia się danych. Ich dalsze przechowywanie może stanowić obowiązek prawny, bo prawo przewiduje obowiązek przechowywania dokumentów przez pewien czas. Może też stanowić Twój prawnie uzasadniony interes, jak jest w przypadku przechowywania danych na potrzeby ewentualnego ustalania, dochodzenia lub obrony roszczeń, np. w przypadku zawartych umów. W takim wypadku zwróć uwagę na ogólne terminy przedawnienia określone w Kodeksie cywilnym.
Terminy określone przepisami prawa
Ustalając okresy przechowywania, w pierwszej kolejności polecam Ci zajrzeć do przepisów prawa, które mogą regulować tę kwestię. Wiele terminów zostało już przez prawo określone, a skoro tak, to powinieneś tych regulacji przestrzegać. W przypadku administracji dokumentem zbierającym wszystkie terminy są instrukcje kancelaryjne, choć często placówki publiczne działają na podstawie jednolitego rzeczowego wykazu akt.
Opracowanie instrukcji kancelaryjnej sprawdzi się także w firmie lub placówce medycznej, choć warto pamiętać, że okresy przechowywania stanowią element rejestru czynności przetwarzania. Jeżeli więc dysponujesz prawidłowo uzupełnionym rejestrem, nie ma sensu dublować tej informacji bez konkretnego obowiązku wprowadzenia takiego dokumentu jak wspomniana instrukcja.
W infografice wskazałem trzy przykłady terminów przechowywania danych osobowych, które wynikają z przepisów prawa.

Terminy określone przez administratora
A co w sytuacji, gdy przepisy prawa nie regulują okresu przechowywania danych osobowych? W takim wypadku decyzję musisz podjąć sam jako administrator. Jak tego dokonać? Ponownie odwołam się w tym miejscu do celu przetwarzania danych osobowych. Po wyznaczeniu celu przetwarzania i ustaleniu podstawy, na jakiej zostanie ono oparte, w wielu przypadkach możliwe będzie racjonalne określenie terminu usunięcia danych. Możesz też zainspirować się przepisami dotyczącymi podobnych przypadków lub wprost odwołać się do okresów przedawnienia roszczeń, jeżeli to one stanowią cel dalszego przechowywania danych.
Pamiętaj, że jeżeli podstawą przetwarzania jest zgoda osoby, której dane dotyczą, jej wycofanie będzie wiązało się z koniecznością ich usunięcia. Wyjątkiem jest sytuacja, gdy masz inną podstawę do dalszego przetwarzania tych danych.
Jakie mogą być konsekwencje dłuższego przechowywania?
Przede wszystkim dłuższe przechowywanie danych generuje ryzyko ich ujawnienia w sytuacji, gdy nie powinieneś już być w ich posiadaniu. To prowadzi oczywiście do potencjalnie negatywnych skutków dla osób, których one dotyczą. Mogą jednak też nieść za sobą przykre konsekwencje dla Ciebie.
Przetwarzanie danych osobowych bez podstawy prawnej stanowi naruszenie ochrony danych osobowych. W jego wyniku Prezes UODO może więc nałożyć na Ciebie karę, również finansową. Co więcej, ustawa o ochronie danych osobowych przewiduje też sankcję karną. Zgodnie z przepisem art. 107 ust. 1 tej ustawy, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Odpowiedzialność jest jeszcze surowsza, gdy chodzi o dane wrażliwe.
Poza RODO musisz liczyć się także z innymi przepisami, jak choćby prawo pracy czy prawo medyczne. W wyniku kontroli uprawnionych do tego organów, możesz zostać pociągnięty do odpowiedzialności w ramach trybu danego postępowania.
W telegraficznym skrócie…
- Ustalając termin przetwarzania danych osobowych oprzyj się przede wszystkim na celu ich przetwarzania.
- Wiele terminów zostało już określonych przepisami prawa – jeżeli tak jest w Twoim przypadku, powinieneś ich przestrzegać.
- Jeżeli terminy przechowywania danych nie zostały określone, powinieneś sam ustalić terminy, po jakich zostaną usunięte.
- Przechowywanie danych bez podstawy stanowi naruszenie ochrony danych osobowych i może też naruszać inne przepisy prawa.