Według RODO dane osobowe powinny być przechowywane tylko tak długo, jak jest to niezbędne do realizacji celów, dla których zostały zebrane. Po ich zrealizowaniu dane powinny zostać usunięte, ewentualnie zanonimizowane, czyli pozbawione w nieodwracalny sposób cech pozwalających na zidentyfikowanie konkretnej osoby. Zasada minimalizacji danych oraz ograniczenia dotyczące ich przechowywania stanowią fundament ochrony danych osobowych, co należy respektować w każdej sytuacji. Przechowywanie danych osobowych „na zapas” lub „na wszelki wypadek” nigdy się nie obroni.

Warto w tym miejscu również wyraźnie zaznaczyć, że usunięcia danych nie należy utożsamiać z ich archiwizacją, czy wykonywaniem kopii zapasowych. Archiwizacja danych polega bowiem na przeniesieniu danych do oddzielnego systemu lub repozytorium. Dane zarchiwizowane nie są aktywnie wykorzystywane w bieżącej działalności firmy, ale są dostępne w razie potrzeby. Proces ten pozwala na zachowanie danych dużej, jednocześnie minimalizując ryzyko ich utraty lub nieuprawnionego dostępu. Usuwanie danych polega natomiast na ich trwałym usunięciu z systemów informatycznych lub ich zniszczeniu, jeżeli dane są utrwalone w formie fizycznej. Dane usunięte są już nie do odzyskania.

Retencja: od czego zacząć?

Określenie jakichkolwiek okresów przechowywania danych osobowych wymaga najpierw wykonania przez administratora szczegółowej inwentaryzacji przetwarzanych danych. Inwentaryzacja ta powinna objąć, w szczególności, określenie celu przetwarzania, identyfikację danych oraz kategorii osób, a ponadto ustalenie podstawy prawnej. Innymi słowy, najpierw należy określić proces, w jakim dane mają być przetwarzane. Czy będzie to realizacja umowy? A jeżeli tak, to jakiej? Czy będą również inne cele, np. cele marketingowe? Cel przetwarzania ma kluczowy wpływ na okres retencji danych.

Następnie należy określić, jakie kategorie osób i kategorie danych osobowych będą przetwarzane w konkretnym, określonym przez firmę celu. Czy są to dane zwykłe klienta, takie jak imię, nazwisko, adres, czy może dane wrażliwe, np. dane o stanie zdrowia? Czy przetwarzane są dane biometryczne, dane o lokalizacji? Dokładne określenie rodzajów danych jest kluczowe, ponieważ różne kategorie danych mogą podlegać różnym regulacjom i wymagać zastosowania odmiennych okresów przechowywania.

Wreszcie, konieczne jest zidentyfikowanie podstawy prawnej przetwarzania danych osobowych. Czy jest to zgoda osoby, której dane dotyczą, wykonanie umowy, obowiązek prawny ciążący na administratorze, czy może inny przewidziany w RODO przypadek? Podstawa prawna przetwarzania ma największy wpływ na to, jak długo można przechowywać dane. Jest ona bowiem punktem wyjścia do poszukiwania, często w kolejnych przepisach, podstawy określającej okres retencji.