Retencja danych pracowników
Prowadzenie biznesu wiąże się z przechowywaniem wielu dokumentów, w tym tych zawierających dane osobowe. W I kwartale 2018 roku liczba pracujących wynosiła 16 344 tys. – wynika z danych Głównego Urzędu Statystycznego. RODO wskazuje, że wszelkie przetwarzane przez organizacje informacje na ich temat powinny być przechowywane nie dłużej niż wynika to z celu ich pozyskiwania (Art. 5 ust. 1e). Jak te zapisy mają się jednak do procesu retencji danych, określanego jako obowiązek „zatrzymywania” danych, a następnie – w wielu przypadkach – bezterminowego przechowywania ich w bazach?
Dużym wyzwaniem dla firm jest ustalenie właściwego czasu przechowywania dokumentacji pracowniczej zawierającej dane osób zatrudnionych, czyli określenie okresów retencji. Zapewnienie rzeczywistego przestrzegania ustalonych terminów usunięcia danych osobowych, w tym usunięcia ich z systemów informatycznych, stanowi jedno z najtrudniejszych wyzwań, jakie stoją przed administratorami danych osobowych.
W obliczu RODO oraz wszelkich następstw powstałych po jego wdrożeniu na znaczeniu zyskuje rola administratora danych osobowych. Jest on bowiem osobą odpowiedzialną za dokonywanie okresowej oceny czasu, przez który informacje są przetwarzane przez organizację. W zakres jego kompetencji wchodzi także dokonywanie przeglądów celów przetwarzania w aspekcie okresu ich przechowywania oraz bezpieczne usuwanie tych danych, których przetwarzanie stało się bezcelowe – mówi Dr Paweł Mielniczek, ekspert ds. ochrony danych, ODO 24.
Po upływie terminu przechowywania danych należy je niezwłocznie i trwale usunąć – zarówno te zebrane w formie elektronicznej, jak i papierowej. RODO nie określa jednak ani czasu, ani formy wykonania tej czynności. Okres przechowywania należy ograniczyć do niezbędnego minimum. Zaleca się ponadto przyjęcie procedury pozwalającej sprecyzować konkretne terminy i sposoby niszczenia danych osobowych. Warto dodać, że czas ich przechowywania często regulowany jest przez ustawy szczegółowe, m.in. Kodeks pracy oraz Kodeks cywilny. Na przykład, okres przechowywania dokumentacji pracowniczej do końca 2018 r. wynosi 50 lat, a od nowego roku, będzie to 10 lat licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł. Po usunięciu danych, nie powinno być możliwe ich ponowne odczytanie i odtwarzanie.
Proces usuwania wszelkich danych należy rozpocząć od sprawdzenia, jakie informacje, w ramach których procesów, w jakiej formie i gdzie są przetwarzane. Następnie zalecana jest analiza czasu ich przetwarzania, przy której konieczne jest uwzględnienie obecnej i przyszłej wartości posiadanych danych, a ponadto kosztów, ryzyka i realnej możliwości ich stałej aktualizacji. Ważnym elementem jest regularne weryfikowanie, czy posiadane przez organizację informacje są nadal jej niezbędne – wskazuje Dr Paweł Mielniczek, ODO 24.
Konsekwencją naruszenia przepisów w zakresie dopuszczalnej retencji danych osobowych może być kara, o której mowa w art. 83 ust. 5 lit. a i b RODO, tj. grzywna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku, przy czym zastosowanie ma kwota wyższa. Możliwe jest ponadto nałożenie na Administratora Ochrony Danych odpowiedzialności cywilnej wobec osób, których dane dotyczą, zgodnie z art. 79 ust. 1 RODO.
Zobacz podobne artykuły:
Ile wie o nas Internet? Według raportu „Digital 2021” firm We Are Social i Hootsuite, z Internetu w Polsce korzysta 31,97 mln ludzi, a portali społecznościowych używa aż 25,9 mln osób. Takie liczby robią wrażenie, ale też zmuszają do zastanowienia. Korzystając z Internetu niejednokrotnie pozostawiamy po sobie ślad, poprzez udostępnienie naszych danych. Przy odpowiednim wysiłku i wiedzy można powiązać pozostawioną w Internecie treść z wybraną osobą. Zazwyczaj, to my sami decydujemy o upublicznieniu prywatnych danych w sieci, ale informacje nas dotyczące mogą być też łatwo dostępne niezależnie od naszej woli. Czy można je odnaleźć i wykorzystać w niekorzystny dla nas sposób? Ile wie o nas Internet?
3 lata z RODO – czy nasze dane osobowe są już bezpieczne? Po blisko trzech latach stosowania RODO aż 93% Polaków potwierdza, że ich pracodawca dba o kwestie ochrony danych osobowych. Warto również wiedzieć, że aż 43% osób pracujących deklaruje, że każda zatrudniona osoba w firmie jest informowana o procedurach i odbywa szkolenie. Czy według polskich pracowników, unijne rozporządzenie zwiększyło dbałość pracodawców o ochronę danych osobowych? Co jeszcze się zmieniło po wprowadzeniu nowych przepisów?
Wirtualna ochrona danych w aplikacji mObywatel. Jak nowe dowody dbają o nasze bezpieczeństwo? Jeszcze w tym roku aż 1 mln 546 tys. Polaków wymieni swój dowód osobisty na nowy – wynika z informacji podanych przez Kancelarię Prezesa Rady Ministrów. Nowe dokumenty tożsamości to efekt wejścia w życie unijnego rozporządzenia, które nakazuje wdrożenie najwyższych norm zabezpieczeń do tego typu dokumentów. Oznacza to, że po dacie 2 sierpnia 2021 roku każdy, komu skończy się ważność dowodu osobistego, jest zobligowany do jego wymiany na nowy. Czy jednak nowe dowody są bezpieczniejsze? Czy rządowa aplikacja mObywatel ochroni nas przed kradzieżą danych osobowych?
Pracownicy a znajomość ochrony danych osobowych Istotnym warunkiem prawidłowego przetwarzania danych osobowych jest odpowiedni poziom wiedzy i świadomości osób, które tego dokonują. Administrator danych osobowych nie tylko decyduje o tym, kto będzie przetwarzał, gromadzone przez niego, dane, ale również ma obowiązek zapewnienia, że osoby te zapoznają się z przepisami.
PPK a ochrona danych osobowych. Co mogą pracodawcy? Pracownicze Plany Kapitałowe są nowością dla polskich przedsiębiorców, a ich wdrożenie wymaga udostępniania danych pracowników podmiotom zewnętrznym. Przepisy te rodzą wiele wątpliwości wśród firm, co do legalności przetwarzania i przekazywania informacji, podstaw prawnych czy okresów przechowywania dokumentacji.
Kopiowanie dowodów osobistych w firmach – co naprawdę zmienia nowe prawo? Prawie każdy z nas spotkał się z kserowaniem i skanowaniem dowodów tożsamości oraz innych dokumentów, na których widniały dane osobowe. Praktykowali je zarówno pracodawcy, jak i wypożyczalnie sprzętu sportowego oraz hotele.
Kontrola UODO? Proszę bardzo Prezes Urzędu Ochrony Danych Osobowych ma prawo przeprowadzić kontrolę administratora danych osobowych, aby zweryfikować, czy dochodzi do naruszenia przepisów z tego zakresu.
„Twardy brexit” z punktu widzenia danych osobowych W sytuacji, gdy Wielka Brytania postawi na tzw. twardy brexit, czyli formę bezumowną stanie się „państwem trzecim” w rozumieniu ogólnego rozporządzenia o ochronie danych. Czy taki scenariusz zagraża przedsiębiorcom, którzy w ramach współpracy przekazują dane na Wyspy?
