Retencja dokumentacji RODO – jak długo przechowywać dowody na kontrolę UODO?
ODPOWIEDŹ
Uważam, że odpowiedź w tym przypadku powinna być analogiczna do tej, jakiej udzieliliśmy w kontekście przechowywania dokumentacji dotyczącej naruszeń ochrony danych.
RODO nie określa wprost, przez jaki okres należy przechowywać dokumentację naruszeń. Zgodnie jednak z Wytycznymi Europejskiej Rady Ochrony Danych (EROD), jeżeli dokumentacja ta zawiera dane osobowe, administrator jest zobowiązany do ustalenia odpowiedniego okresu przechowywania na podstawie ogólnych zasad przetwarzania danych – w szczególności celowości, minimalizacji i ograniczenia przechowywania – oraz przy uwzględnieniu podstawy prawnej przetwarzania.
Zgodnie z art. 33 ust. 5 RODO administrator musi dokumentować wszelkie naruszenia ochrony danych osobowych i być w stanie, na żądanie organu nadzorczego, przedstawić dowody na przestrzeganie tego przepisu. Obowiązek ten wpisuje się również w szerszą zasadę rozliczalności (art. 5 ust. 2 RODO).
W kontekście ustalania okresu przechowywania warto również odnieść się do przepisów krajowych. Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. odsyła w zakresie postępowania administracyjnego do Kodeksu postępowania administracyjnego. Ten zaś (art. 189g KPA) przewiduje, że administracyjna kara pieniężna nie może zostać nałożona po upływie pięciu lat od dnia naruszenia prawa lub wystąpienia jego skutków. Może to stanowić racjonalny punkt odniesienia przy ustalaniu okresów retencji dokumentacji związanej z naruszeniami, które zawierają dane osobowe.
W przypadku natomiast, gdy dokumentacja nie zawiera danych osobowych, UODO – zgodnie z najnowszymi zaleceniami zawartymi w swoim poradniku – postuluje jej przechowywanie możliwie jak najdłużej, ze względu na jej znaczenie dowodowe i analityczne.