W świecie RODO na podmioty, które przetwarzają dane osobowe, zostało nałożonych wiele obowiązków. Ich wdrożenie było dla wielu podmiotów bardzo kosztowne i czasochłonne. Wprowadzane w wielu organizacjach zmiany miały na celu uporządkowanie procesów pozyskiwania i przechowywania danych osobowych, tak by zapewnić ich zgodność z zasadami wyrażonymi w przepisach RODO. Przykładem takich zasad są m.in.: zasada przejrzystości (wprowadzenie nowych obowiązków informacyjnych), zasada legalności (zawieranie umów powierzenia), jak również zasada rozliczalności (wprowadzanie nowych polityk i procedur z zakresu ochrony danych osobowych).
Jednak czasami, w trakcie zmian związanych z wdrażaniem nowych wymagań RODO, umyka bardzo istotna zasada przetwarzania danych osobowych – zasada ograniczenia przetwarzania. Zbierając dane osobowe pamiętamy o realizacji obowiązków informacyjnych, o klauzulach marketingowych, dbamy też o bezpieczeństwo zebranych danych. Często jednak po zrealizowaniu celu przetwarzania danych osobowych… po prostu o nich zapominamy. Przechowujemy je bezterminowo, zapełniając archiwa, firmowe dyski sieciowe i przetrzymując nadmiarowe bazy danych.
Celując w zmniejszanie ryzyka
Pamiętajmy o tym, że zgodnie z RODO dane osobowe możemy przetwarzać jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach. Natomiast zgodnie ze wcześniej wspomnianą zasadą ograniczenia przetwarzania dane osobowe możemy przetwarzać przez okres nie dłuższy, niż jest to niezbędne do realizacji wspomnianych celów. Zrealizowanie celu przetwarzania danych osobowych wiąże się zatem z obowiązkiem usunięcia danych.
Przykładowo wystawione przez nas faktury VAT powinny być usuwane po upływie 5 lat od końca roku, w którym je wystawiliśmy, a CV kandydatów do pracy powinny być kasowane po zakończeniu rekrutacji (oczywiście, jeśli wspomniany kandydat nie wyraził zgody na udział w przyszłych rekrutacjach).
Przetwarzanie danych osobowych, których cel przetwarzania został zrealizowany i dla których nie określono nowego celu ich przetwarzania, stanowi istotne naruszenie zasad ochrony danych osobowych zawartych w RODO. Zwiększa także ryzyko wystąpienia incydentu w zakresie ochrony danych osobowych, gdy przykładowo na adresy e-mail, które powinniśmy już usunąć trafią nieplanowane wiadomości. Oczywiste jest, że łatwiej jest nam dbać o bezpieczeństwo dokumentów przechowywanych w dwóch szafach, niż w pięciu. Należy tutaj wskazać, że bardzo często po prostu zapominamy o danych osobowych, których cel przetwarzania został zrealizowany, w efekcie tego zapominamy o tym, żeby je należycie chronić. Także przez ich usunięcie.
W trosce o koszty
Przechowując dane osobowe, których cel przetwarzania został już zrealizowany niepotrzebnie zwiększamy ilość przetwarzanych przez danych osobowych, a tym samym narażamy się na większe koszty związane z archiwizacją posiadanych dokumentów i informacji.
W dzisiejszych czasach bardzo często słyszymy, że dane czy informacje stanowią kapitał przedsiębiorstwa, jednak chodzi tutaj o dane, które przedsiębiorstwo jest w stanie wykorzystać w określonym celu, a nie o takie, które kurzą się w magazynie i odchodzą w zapomnienie w zakamarkach dysków sieciowych. Pomimo że usunięcie danych osobowych po zrealizowaniu celu ich przetwarzania jest naszym obowiązkiem, to w wielu przypadkach będzie ono po prostu bardziej opłacalne, niż ich dalsze przechowywanie.
W dobie RODO i bezpieczeństwa danych znaczenia nabiera stosowanie zasady privacy by design, czyli uwzględnienie prywatności w fazie projektowania, dlatego projektując system informatyczny należy zwrócić uwagę, aby umożliwić nam określenie okresu przechowywania danych, już w momencie ich pozyskiwania, a następnie zapewnić możliwość usunięcia niepotrzebnych danych.
Autor: Paweł Domagała, prawnik, JAMANO Sp. z o.o.