Według przepisów Regulacji o Ochronie Danych osobowych dane muszą być zbierane w wyraźnie określonym i uzasadnionym przez prawo celu. Dodatkowo zasady RODO wymagają, aby dane nie były dalej przetwarzane w sposób niezgodny ze wskazanymi celami.
Po zakończeniu przetwarzania danych powinny one zostać usunięte lub przekazane podmiotowi uprawnionemu do ich przejęcia. Przepis ten jest zawarty w art. 5 ustawy RODO: „przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą”.
GIODO również przypomina o tym, że dane osobowe nie mogą być zbierane bez wykazania celowości ich pozyskania.
Art. 17 RODO określa, że w szczególnych przypadkach osoba, której dane dotyczą, może żądać „bycia zapomnianym”. Jeżeli więc zostanie wyrażona taka wola Administrator Danych Osobowych, ma obowiązek usunięcia informacji z bazy danych w trybie natychmiastowym. Może się to wiązać z następującymi założeniami:
- brak podstawy prawnej do dalszego przetwarzania,
- cele, w których dane były gromadzone, zostały już osiągnięte,
- przetwarzanie odbyło się niezgodnie z prawem,
- zgłoszenie sprzeciwu wobec przetwarzania.
Prawa do bycia zapomnianym nie można zastosować w momencie, gdy przetwarzanie danych jest konieczne do korzystania z prawa do wolności wypowiedzi, do celów archiwalnych (np. w zakładach pracy), z uwagi na cele zdrowotne lub do dochodzenia, lub obrony roszczeń.
Administrator oprócz usunięcia danych z bazy danych, którą zarządza, musi również poinformować innych administratorów, którzy przetwarzają te same dane o konieczności ich usunięcia.
Ustalając okres retencji danych konieczne, jest wzięcie pod uwagę obecnej i przyszłej wartości zgromadzonych informacji oraz rzeczywistą możliwość zapewniania aktualności danych. Ważne jest także, aby procedurach usuwania danych uwzględniła takie działania jak:
- fizyczne niszczenie dokumentów,
- usuwanie danych z systemu,
- likwidacja sprzętu i nośników zawierających dane.
- Czy informacja o wynagrodzeniu pracownika jest poufna? - 18 maja 2018
- Geolokalizacja, a ochrona danych osobowych - 16 maja 2018
- RODO w praktyce: Zasada rozliczalności - 9 maja 2018