W artykule kontynuujemy wyjaśnianie zasad przetwarzania danych osobowych opisanych w artykule 5  ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

Piątą zasadą ogólną przetwarzania danych jest zasada ograniczenia przechowywania, nazywana także zasadą czasowego ograniczenia przetwarzania danych. Zgodnie z przepisem ust. 1 lit. e artykułu 5 dane osobowe powinny być „przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”.

Oznacza to, że po osiągnięciu celów przetwarzania dane powinny zostać usunięte albo zanonimizowane.

W motywie 39 preambuły stwierdzono, że „aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu”. Przepisy komentowanego rozporządzenia przewidują obowiązki dotyczące określenia terminów usuwania danych oraz informowania o tym osób, których dane podlegają przetwarzaniu.

Dane mogą być przechowywane przez czas nieograniczony po dokonaniu ich anonimizacji, a więc po przekształceniu ich do postaci, która nie pozwala na identyfikację osób, których dane dotyczyły. Wymogu tego nie sposób uznać za spełniony w przypadku ograniczenia identyfikacji poprzez oddzielenie informacji identyfikujących osoby od pozostałych informacji i przechowywania danych identyfikacyjnych oddzielnie (pseudonimizacja).

W odniesieniu do niektórych procesów przetwarzania danych przepisy prawa wyraźnie wskazują okresy przechowywania danych. Na przykład przepisy archiwalne przewidują 50-letni okres przechowywania dokumentacji osobowej pracowników, przy czym warto wspomnieć, że przepisy te zostały zmienione i okresy te zasadniczo zostały skrócone do lat 10.

Jednak w wielu przypadkach brak normatywnego rozstrzygnięcia tej kwestii i administratorowi danych pozostawiono ocenę, czy cele zostały osiągnięte, czy też nie i czy dane są mu nadal potrzebne. W praktyce dokonanie tego rodzaju oceny może nie być łatwe.

Przykładem wątpliwości praktycznych odnoszących się do realizacji zasady ograniczenia przetwarzania danych jest sytuacja przetwarzania przez wierzyciela danych dłużnika po upływie okresu przedawnienia roszczenia. Niekiedy można spotkać się z poglądem, że upływ okresu przedawnienia powoduje, iż administrator danych powinien zaprzestać przetwarzania danych i usunąć dane. Z poglądem takim nie sposób się zgodzić, ponieważ upływ okresu przedawnienia nie oznacza, że roszczenie przestaje istnieć, a jedynie zmienia się jego charakter – roszczenie staje się tzw. roszczeniem naturalnym. Dłużnik może podnieść zarzut przedawnienia, ale nie musi tego robić, a sąd z urzędu nie bierze pod uwagę upływu okresu przedawnienia. Oznacza to, że roszczenie przedawnione nadal może zostać zaspokojone, a administrator danych ma nadal cel, który uzasadnia przetwarzanie danych dłużnika. Ponadto może się zdarzyć, że dłużnik będzie chciał zawrzeć z administratorem kolejną umowę, a administrator, dysponując informacjami o długu, będzie mógł skutecznie chronić swoje interesy, np. uzależniając możliwość zawarcia kolejnej umowy od spłaty zadłużenia.

W przepisie przewidziano również odstępstwa od omówionej powyżej zasady ograniczenia przechowywania. Dalsza część art. 5 ust. 1 lit. e rozporządzenia stanowi, iż dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych, badań naukowych lub historycznych lub statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą. Prawodawca unijny wyszedł z założenia, że realizacja interesu publicznego oraz specyfika przetwarzania danych w przypadku działalności archiwalnej, naukowej, historycznej oraz statystycznej uzasadnia potrzebę wprowadzenia wyjątku od zasady ograniczenia przechowywania danych. Dodatkowe wymogi dotyczące przetwarzania danych we wskazanych w komentowanym przepisie dziedzinach określa art. 89 rozporządzenia.

 

Opracowano na podstawie:

Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych.

Komentarz pod red. Pawła Fajgielskiego

MvL

ul. Namysłowska 8, IV piętro

(Centrum Biznesu Grafit)

50-304 Wrocław

NIP: 8971793846

REGON: 022287361

tel.+48 71 777 90 32

faks +48 71 798 44 90

e-mail: cui@cui.wroclaw.pl

ePUAP: /CUI/SkrytkaESP

Biuletyn Informacji Publicznejlogo - BIP

Back to top

Centrum Usług Informatycznych we Wrocławiu (właściciel strony internetowej www.cui.wroclaw.pl) informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Możesz zdecydować o możliwości zapisywania plików cookie poprzez zmianę ustawień przeglądarki z której korzystasz. Przeglądając zawartość naszej strony internetowej bez tych zmian, wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Aby dowiedzieć się więcej oraz uzyskać wiedzę jak zarządzać ustawieniami dotyczącymi ciasteczek sprawdź naszą POLITYKĘ PRYWATNOŚCI I PLIKÓW COOKIES.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close