Zasada ta znajduje oparcie w art. 5 ust. 1 lit. e) RODO. Zgodnie z tym przepisem „Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”.
Po raz kolejny odzywa się tutaj brzmienie innych zasad – w tym wypadku najdobitniej zasady celowości. Administrator będzie wiedział jak długo przetwarzać dane osobowe tylko wtedy, gdy będzie mu znany cel przetwarzania danych. Często jednak okres przechowywania danych będzie wynikał nie z samego celu przetwarzania, a z poszczególnych przepisów prawa. Przykładowo dane zawarte w aktach osobowych pracowników – zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach – należy przechowywać przez okres zatrudnienia, a następnie 50 lat od ustania stosunku pracy (od 1.01.2019 r. termin ten będzie wynosić 10 lat), dane zawarte w dokumentacji podatkowej – w myśl przepisów ordynacji podatkowej – do upływu terminu przedawnienia zobowiązania podatkowego, dane objęte dokumentacją zgłoszeniową do ubezpieczeń społecznych – w myśl ustawy o systemie ubezpieczeń społecznych – przez okres 5 lat od wysłania dokumentów do ZUS.
Praktyką sprzeczną z omawianą zasadą RODO jest przechowywanie danych przez czas nieokreślony. Każdy zatem administrator danych będzie zmuszony do określenia właściwych terminów przechowywania danych osobowych. W tym celu pomocna może się okazać wyspecjalizowana we wdrażaniu RODO kancelaria prawna, która wesprze administratora w wypełnieniu tego obowiązku.
Godzi się także zauważyć, iż w myśl cytowanej powyżej regulacji dane osobowe można przechowywać przez okres dłuższy niż wskazywałby na to cel przetwarzania, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy rozporządzenia ogólnego w celu ochrony praw i wolności osób, których dane dotyczą. Większość przedsiębiorców nie będzie jednak mogła się powołać na tę regulację.
Data publikacji: 24.07.2018.