W I kwartale 2018 roku liczba pracujących wynosiła 16 344 tys. RODO wskazuje, że wszelkie przetwarzane przez organizacje informacje na ich temat powinny być przechowywane nie dłużej niż wynika to z celu ich pozyskiwania. Jak pogodzić te zapisy z procesem retencji danych, określanego jako obowiązek „zatrzymywania” danych, a w wielu przypadkach także bezterminowego przechowywania ich w bazach.
reklama
Dużym wyzwaniem dla firm jest ustalenie właściwego czasu przechowywania dokumentacji pracowniczej zawierającej dane osób zatrudnionych, czyli określenie okresów retencji. Zapewnienie rzeczywistego przestrzegania ustalonych terminów usunięcia danych osobowych, w tym usunięcia ich z systemów informatycznych, stanowi jedno z najtrudniejszych wyzwań, jakie stoją przed administratorami danych osobowych.
W obliczu RODO oraz wszelkich następstw powstałych po jego wdrożeniu na znaczeniu zyskuje rola administratora danych osobowych. Jest on bowiem osobą odpowiedzialną za dokonywanie okresowej oceny czasu, przez który informacje są przetwarzane przez organizację. W zakres jego kompetencji wchodzi także dokonywanie przeglądów celów przetwarzania w aspekcie okresu ich przechowywania oraz bezpieczne usuwanie tych danych, których przetwarzanie stało się bezcelowe.
Po upływie terminu przechowywania danych należy je niezwłocznie i trwale usunąć – zarówno te zebrane w formie elektronicznej, jak i papierowej. RODO nie określa jednak ani czasu, ani formy wykonania tej czynności. Okres przechowywania należy ograniczyć do niezbędnego minimum. Zaleca się ponadto przyjęcie procedury pozwalającej sprecyzować konkretne terminy i sposoby niszczenia danych osobowych. Warto dodać, że czas ich przechowywania często regulowany jest przez ustawy szczegółowe, m.in. Kodeks pracy oraz Kodeks cywilny. Na przykład, okres przechowywania dokumentacji pracowniczej do końca 2018 r. wynosi 50 lat, a od nowego roku będzie to 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł. Po usunięciu danych, nie powinno być możliwe ich ponowne odczytanie i odtwarzanie.
Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>
Proces usuwania wszelkich danych należy rozpocząć od sprawdzenia, jakie informacje, w ramach których procesów, w jakiej formie i gdzie są przetwarzane. Następnie zalecana jest analiza czasu ich przetwarzania, przy której konieczne jest uwzględnienie obecnej i przyszłej wartości posiadanych danych, a ponadto kosztów, ryzyka i realnej możliwości ich stałej aktualizacji. Ważnym elementem jest regularne weryfikowanie, czy posiadane przez organizację informacje są nadal jej niezbędne.
Konsekwencją naruszenia przepisów w zakresie dopuszczalnej retencji danych osobowych może być kara, o której mowa w art. 83 ust. 5 lit. a i b RODO, tj. grzywna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku, przy czym zastosowanie ma kwota wyższa. Możliwe jest ponadto nałożenie na Administratora Ochrony Danych odpowiedzialności cywilnej wobec osób, których dane dotyczą, zgodnie z art. 79 ust. 1 RODO.
Autor: dr Paweł Mielniczek, ekspert ODO 24.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|