Jak długo należy przechowywać upoważnienia do przetwarzania danych osobowych?

PYTANIE SZCZEGÓŁOWE

Zwracam się z zapytaniem jak długo należy przechowywać upoważnienia do przetwarzania danych osobowych osób, które już go nie realizują? Na przykład ze względu na to, że nie pracują już w naszym podmiocie lub zmieniły dział pacy. Czy też należy przechowywać takie upoważnienia bezterminowo, by później w razie kontroli móc wykazać ich prawidłowość?

ODPOWIEDŹ

Niezasadne jest w świetle zasady rozliczalności (art. 5 ust. 2 RODO) oraz zasady ograniczonego przechowywania (art. 5 ust. 1 lit. e RODO) ustalenie, że dokumentację związaną z ochroną danych osobowych np. upoważnienia do przetwarzania danych osobowych; karty odbytych szkoleń; umowy powierzenia itd. były przez administratorów danych osobowych przechowywane bezterminowo. Administrator również do danych osobowych z takiej dokumentacji powinien stosować zasady wynikające z przepisów RODO, a zwłaszcza powinien usuwać je bezzwłocznie, jeśli są one zbędne do realizacji celu, dla którego były zebrane. Wskazać tutaj jednak należy, że czym innym jest usuwanie danych osobowych, a czym innym obowiązek lub konieczność przechowywania określonych dokumentów w organizacji.

Jeśli zatem administrator nie posiada już podstawy prawnej do przetwarzania danych osobowych w konkretnym celu, ale niezbędne jest przechowywanie dokumentacji, wówczas co do zasady należy zanonimizować lub speseudonimizować te dane i pozostawić dokumentację niezawierającą danych osobowych pozwalającą na zidentyfikowanie osoby fizycznej.

W takim wypadku administrator danych będzie mógł na potrzeby kontroli wykazać, że w osoby działające w jego imieniu były odpowiednio umocowane - posiadały upoważnienia. Ustalając zatem, że dane osobowe zawarte w upoważnieniach będą zanonimizowane po upływie okresu objętego upoważnieniem, pozwoli administratorowi na przechowywanie dokumentacji na ewentualne cele dowodowe w przyszłości.