Jak długo trzeba przechowywać potwierdzone klauzule informacyjne oraz oświadczenia o zapoznaniu się z regulaminem wydarzenia?

0

minut

1123

wyświetleń

22 lip 2019

Przepisy Rozporządzenia Parlamentu Europejskiego i  Rady (UE) 2016/679 z dnia 27  kwietnia 2016 r. w sprawie ochrony osób fizycznych w  związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1) (dalej „RODO”), nakazują przetwarzać dane osobowe zgodnie z zasadami wskazanymi w art. 5 RODO. Zgodnie z zasadą ograniczenia przechowywania dane osobowe powinniśmy przetwarzać przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Jeśli zatem Administrator zdecydował się gromadzić dane osobowe na klauzulach obowiązków informacyjnych, zasadnym wydaje się przechowywać je przez okres którego cel został wskazany w klauzuli, z zastrzeżeniem że powinno się okresowo weryfikować zasadność ich dalszego przetwarzania. Ze względu na fakt przetwarzania danych osobowych, Administrator przy ich zabezpieczeniu powinien kierować się adekwatnością zastosowanych środków do zagrożeń dla danych.

UZASADNIENIE

Należy zauważyć, że przepisy RODO nie wymagają by klauzule obowiązku informacyjnego były podpisywane przez osoby, których dane dotyczą i których dane osobowe przetwarzane są przez Administratora. Niemniej jednak przepisy RODO wymagają od Administratora dopełnienia obowiązku informowania osób których dane dotyczą (art. 13/14 RODO), oraz (zgodnie z zasadą rozliczalności) wykazania dopełnienia obowiązków, jakie przepisy RODO nakładają na Administratora. Z tego względu niektórzy Administratorzy danych osobowych praktykują (celem potwierdzenia dopełnienia obowiązku) gromadzenie danych osobowych na formularzach klauzul. Jeśli zatem na podstawie wskazanych danych jesteśmy w stanie identyfikować konkretną osobą fizyczną, przetwarzanie podlega ochronie oraz mają zastosowanie przepisy RODO, w tym zasada ograniczonego przechowywania. Administrator zatem w pierwszej kolejności powinien dokonać weryfikacji czy faktycznie takie przetwarzanie jest niezbędne, a następnie zgodnie z zasadą ograniczonego przechowywania ograniczyć przetwarzanie do celu oraz weryfikować okres przechowywania danych. Każdą sytuację należy interpretować indywidualnie, gdyż w niektórych przypadkach Administrator będzie w stanie wykazać zasadności przetwarzania danych, w niektórych zaś jest to całkowicie zbędna czynność bez jakiejkolwiek podstawy do przetwarzania.

Tagi

Odpowiedzi udziela

author
Mateusz Widziszewski - Forsafe

Profesjonalnie zajmuje się przeprowadzaniem audytów formalno-prawnych, opracowaniem i przygotowaniem dokumentacji przetwarzania i ochrony danych osobowych oraz prowadzeniem szkoleń z zakresu ochrony danych.

www.forsafe.pl
zadaj pytanie