Czasowe ograniczenia przechowywania danych
I kolejny artykuł z serii dot. RODO. Moja sympatia dla tej tematyki to jedna z tych rzeczy, która popycha mnie do zajmowania się kolejnymi problemami związanymi z wejściem w życie unijnego rozporządzenia o ochronie danych osobowych, aczkolwiek nie jedyna. Do tak częstego publikowania artykułów traktujących o problematyce RODO przede wszystkim motywują mnie moi czytelnicy, a dokładniej ich pytania, których to z każdym tygodniem znacznie przybywa. Jako, że nie mógłbym Was zostawić bez odpowiedzi, w niniejszym artykule postanowiłem poruszyć kwestię, o którą pytała zdecydowana większość z Was.
„Jak długo przedsiębiorcy mogą dysponować moimi danymi osobowymi?” „Dlaczego w treści klauzul o wyrażeniu zgody na przetwarzanie danych osobowych nigdy nie ma jasno, albo w ogóle określonego terminu, daty, czy konkretnego wydarzenia, które zdeterminuje wygaśnięcie wyrażonej przez nas zgody bądź zakończy proces przetwarzania danych osobowych przez konkretny podmiot?”
Tego rodzaju pytania nurtują Was najbardziej. I słusznie. Rzeczywiście bowiem zauważyć można, iż klauzule o wyrażeniu zgody na przetwarzanie naszych danych osobowych, które obecnie wręcz „masowo” podpisujemy nie zawierają żadnych określeń czasowych stwierdzających niejako ich ważność i terminowość.
Udzielając odpowiedź na tak sformułowane pytania rozpocznę nieco od końca. Brak w podpisywanych przez nas klauzulach o wyrażeniu zgody na przetwarzanie naszych danych osobowych jest logiczną konsekwencją wynikającą
z samych cech tej zgody. Zgoda ta ma bowiem charakter dobrowolny i jako taka może zostać przez nas odwołana w dowolnie obranym przez nas momencie. Oczywiście odwołanie wyrażonej przez nas zgody determinuje po stronie administratora danych osobowych obowiązek ich usunięcia. Powyższe oznacza zatem, że to my (każda osoba, która wyraziła taką zgodę na przetwarzanie danych osobowych), posiadamy wyłączne prawo decydowania o tym jak długo nasze dane będą przechowywane i przetwarzane przez określone podmioty. Dlatego właśnie podmiot zobligowany do uzyskania zgody celem przechowywania danych osobowych nie jest w stanie określić tego jak długo proces ten będzie miał miejsce. Nie jest on bowiem w stanie przewidzieć czy decyzja o odwołaniu zgody w ogóle zostanie przez nas podjęta, a tym bardziej momentu jej wystąpienia.
Po odwołaniu przez nas zgody, administrator nie usuwa naszych danych osobowych w sposób natychmiastowy. Otrzymał on bowiem uprawnienie przechowywania naszych danych osobowych jeszcze przez niejako „dodatkowy” okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych wobec osoby, której dane osobowe przetwarzał i jakie mogą być podnoszone wobec administratora danych. Chociaż początkowo uprawnienie to wydaje się niezwykle rażące w kontekście ochrony naszych danych osobowych, to pamiętać należy, iż w świetle umożliwienia administratorowi ochrony także jego słusznych interesów, uznać je należy za uzasadnione.
Należy jednak pamiętać, że powyżej podjęte rozważania dotyczą wyłącznie sytuacji, w której podstawę przetwarzania danych stanowi zgoda osoby, której dane osobowe mają być przetwarzane. W sytuacjach bowiem, w których podstawa przetwarzania danych osobowych jest inna ustawodawca unijny kwestię okresu w jakim nasze dane osobowe mogą być przetwarzane zdecydował się uregulować odmiennie.
Jeżeli podstawą przetwarzania danych osobowych jest wykonywanie umowy, wówczas dane te mogą być przetwarzane tak długo, jak długo jest to niezbędne do wykonania umowy przez administratora danych osobowych. Podobnie jak w w/w omawianym przypadku także i w tym, dla ustalenia czasu trwania uprawnienia do przetwarzania naszych danych osobowych przez administratora koniecznym jest pamiętanie o terminie przedawnienia roszczeń. Wraz z momentem więc utraty statusu „niezbędności” rozpoczyna bieg termin przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych. W przypadku przedsiębiorców ten okres czasu co do zasady wynosi nie dłużej niż 3 lata i różni się w zależności od tego, jakiej umowy dotyczyło przetwarzanie danych.
Jeżeli natomiast istnieją przepisy szczególne określające czas, przez jaki powinny być przechowywane dane osobowe, wówczas takie przepisy mogą wydłużać (lub skracać) czas przetwarzania danych osobowych. Jako przykład omawianej sytuacji wskazać można przepisy o rachunkowości, które to nakazują przechowywać dowody księgowe umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym przez okres 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje, postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.