Jeśli nie śmietnik, to co – czyli jak usunąć dane osobowe
„Policjanci z III Komisariatu Policji w Lublinie zabezpieczyli kilkaset dokumentów, na których widnieją dane osobowe pracowników i kontrahentów jednej z lubelskich firm”¹. „Archiwalne dokumenty zawierające między innymi adresy i numery PESEL udało się szybko zabezpieczyć. Sprawą zajmuje się policja”².
Być może kojarzysz takie doniesienia z serwisów informacyjnych. Ich wspólnym mianownikiem jest śmietnik. A konkretniej – dane osobowe, które wylądowały w kontenerach.
Jeśli potrzebujesz pozbyć się danych osobowych w swojej firmie czy organizacji, podpowiadam, jak zrobić to zgodnie z prawem. Procedura ta nie jest wcale tak skomplikowana, jak mogłoby się wydawać.
Kropka nad i przetwarzania danych osobowych
Przetwarzanie danych osobowych to proces – ma swój początek i koniec. Niestety o tym drugim dość często się zapomina. Dane osobowe powinno się przechowywać do celów, w jakich zostały zebrane, a po realizacji należy je usunąć. Nie gromadź danych personalnych na zapas ani na wszelki wypadek.
Dobrym przykładem jest proces rekrutacji. Jeśli zatrudniłeś pracownika, pamiętaj, by usunąć CV pozostałych kandydatów (art. 5 ust. 1 lit. e RODO)³. Chyba że otrzymałeś od nich zgodę na dłuższe przetwarzanie danych osobowych na potrzeby przyszłych rekrutacji.
Jak upewnić się, że zgłoszenia, formularze czy inne dokumenty zgromadzone w teczkach czy folderach na komputerze nie są Ci już potrzebne? Zacznij od inwentaryzacji.
Inwentaryzacja – sprawdź, których danych już nie potrzebujesz
Zanim przejdziesz do usuwania danych osobowych, upewnij się: jakie informacje zawierające dane osobowe przechowujesz; czy są one w formie elektronicznej, czy papierowej; gdzie są przechowywane;
jakim okresom retencji podlegają.
Jeśli korzystasz z tabeli retencji, zadanie jest ułatwione. W takiej tabeli znajdują się bowiem informacje o poszczególnych rodzajach przetwarzanych danych osobowych i okresach ich przechowywania lub kryteriach ustalania takich okresów przechowywania.
Dodatkowo warto uzupełnić taką tabelę o wskazanie nośników danych i ich lokalizacji – zarówno elektronicznej, jak i fizycznej. Informacje te znacząco ułatwiają etap inwentaryzacji. Podobnie jak regularne aktualizowanie tabeli retencji, które jest dobrym punktem wyjścia do prawidłowej realizacji obowiązku usunięcia danych osobowych, gdy nie są one nam już potrzebne.
Jak sprawdzić okres retencji danych?
Jak ustalić okresy retencji dla poszczególnych dokumentów? Często wynikają one z przepisów prawa. Przykładowo, zgodnie z kodeksem pracy pracodawca zobowiązany jest do przechowywania dokumentacji osobowej pracownika przez cały okres zatrudnienia oraz przez 10 lat licząc od dnia zakończenia pracy (art. 94 pkt 9a i 9b kp).
W przypadku dokumentacji księgowej, w tym kart wynagrodzeń, ustawowy okres przechowywania wynosi 5 lat (art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości).
A co, jeśli okres retencji nie jest w danym przypadku uregulowany przepisami i nie wiesz, czy możesz usunąć dokumentację? Zastanów się, czy określone dane są Ci nadal potrzebne, pamiętając jednak, że przechowywanie danych, bo „a nuż się przydadzą” nie wchodzi w grę.
Jeśli w Twojej firmie czy organizacji procesy przetwarzania danych są podobne, dla usprawnienia możesz wprowadzić automatyzację ich usuwania. A jeśli z uwagi na specyfikę danych nie jest to możliwe, przygotuj odpowiednie procedury postępowania.
Wspomniana wcześniej tabela retencji jest jednym z elementów takiej procedury. Warto też wyznaczyć osobę odpowiedzialną za monitorowanie upływu okresów przetwarzania danych osobowych i ich usuwanie.
Jak usuwać dane osobowe w dokumentach papierowych?
Aby usunąć dane osobowe zapisane w dokumentach papierowych, wystarczy skutecznie zniszczyć dokumenty. W tym celu najłatwiej jest użyć niszczarki. Zwróć uwagę na normy DIN, które regulują stopień dokładności niszczenia. Wyróżniamy 7 stopni niszczenia, przy czym w przypadku większości dokumentów nieobjętych ścisłą tajemnicą wystarczy 5 stopień.
Usunięcie dokumentów zawierających dane osobowe możesz zlecić wyspecjalizowanej firmie zewnętrznej. Pamiętaj jednak, że na etapie usuwania danych również obowiązują zasady przetwarzania, a więc m.in. poufność i bezpieczeństwo.
Wybierz więc do współpracy zaufaną i sprawdzoną firmę. Zawrzyj stosowną umowę, która zagwarantuje odpowiedni poziom świadczonych usług, w tym standard niszczenia dokumentów. Umowa powinna też obejmować powierzenie przetwarzania ograniczone do czynności zniszczenia oraz określać zasady odpowiedzialności na wypadek wycieku danych. Możesz również pomyśleć o karach umownych w przypadku niewywiązania się z ustaleń.
Systematyczność się opłaca
Obowiązku usuwania danych osobowych pominąć nie można. Natomiast nic nie stoi na przeszkodzie, by sobie ten proces ułatwić. Podstawą jest systematyczność. Regularny przegląd danych pozwoli zidentyfikować informacje nieustrukturyzowane, czyli takie, które nie zostały skatalogowane, a mieszczą się na komputerach pracowników, w korespondencji bądź na nośnikach.
Dobrym pomysłem jest ustalenie cyklicznych okresów sprawdzania danych pod kątem konieczności ich usuwania. W ten sposób nie tylko wypełnisz obowiązki związane z przetwarzaniem danych osobowych, ale odchudzisz też firmowe archiwum i zwolnisz przestrzeń na nośnikach danych.
Usuwanie danych osobowych to tylko 3 kroki
Usuwanie danych osobowych można właściwie sprowadzić do 3 kroków: inwentaryzacji, usuwania i regularnej kontroli. Działając systematycznie, wdrożysz w swojej firmie sprawny cykl, dzięki któremu pozbędziesz się niepotrzebnej dokumentacji w bezpieczny sposób.
Pamiętaj, by usuwać nie tylko dane w dokumentach papierowych, ale też zgromadzone na nośnikach. A jeśli chcesz skorzystać z usług wyspecjalizowanej firmy, zadbaj o to, by dopełnić niezbędnych formalności.
- https://www.policja.pl/pol/aktualnosci/44898,Dane-osobowe-na-smietniku.html, dostęp:
17.08.2021. - https://bezprawnik.pl/dane-klientow-santander-bank/, dostęp: 17.08.2021.
- Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”).
