Procedura retencji danych osobowych

Procedura retencji danych osobowych

1. Definicje

1.1. Administrator – Firma "Przykładowe Rozwiązania Sp. z o.o."

1.2. Dane osobowe – informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania poprzez jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, w tym wizerunek, nagranie głosu, dane kontaktowe, dane o lokalizacji, informacje zawarte w korespondencji, informacje gromadzone za pośrednictwem sprzętu rejestrującego lub innej podobnej technologii.

1.3. Inspektor Ochrony Danych (IOD) – osoba wyznaczona przez Administratora, nadzorująca przestrzeganie przepisów o ochronie Danych osobowych w organizacji Administratora, wykonująca zadania określone w art. 39 RODO.

albo

Koordynator Ochrony Danych Osobowych (KODO) – osoba wyznaczona przez Administratora, realizująca w organizacji Administratora zadania związane z zapewnieniem zgodności przetwarzania Danych osobowych z obowiązującym prawem.

1.4. Osoba dedykowana – Pracownik lub Współpracownik zobowiązany do wykonania czynności technicznych związanych z usunięciem lub anonimizacją Danych osobowych z systemów informatycznych lub zasobów papierowych Administratora.

1.5. Podmiot danych – osoba fizyczna, której dotyczą Dane osobowe przetwarzane przez Administratora.

1.6. Pracownik – osoba fizyczna zatrudniona przez Administratora na podstawie umowy o pracę.

1.7. Procedura – niniejsza Procedura zapewniania retencji danych osobowych.

1.8. RCP – rejestr czynności przetwarzania, o którym mowa w art. 30 RODO, prowadzony przez Administratora.

1.9. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

1.10. Współpracownik – osoba fizyczna świadcząca na rzecz Administratora usługi na podstawie umowy cywilnoprawnej (np. umowa zlecenie, umowa o dzieło).

2. Zasady ogólne

2.1. Administrator przetwarza Dane osobowe z uwzględnieniem zasady ograniczenia przechowywania i zapewnia, że przechowuje Dane osobowe w formie umożliwiającej identyfikację Podmiotu danych przez okres nie dłuższy, niż jest to niezbędne do celów, w których te Dane osobowe są przetwarzane (okres retencji).

2.2. W przypadku gdy dla określonych Danych osobowych nie występują żadne prawnie uzasadnione cele przetwarzania, Administrator zaprzestaje realizowania jakichkolwiek operacji na tych Danych osobowych, z wyjątkiem ich usunięcia lub nieodwracalnej anonimizacji (przez którą rozumie się modyfikację Danych osobowych w taki sposób, że nie jest możliwa identyfikacja Podmiotów danych).

2.3. W przypadkach gdy okres retencji Danych osobowych nie wynika wyraźnie z przepisów prawa, Administrator ustala te okresy samodzielnie, uwzględniając ogólne zasady przetwarzania Danych osobowych przewidziane w RODO. W przypadku gdy okres retencji wynika z przepisów prawa, ma on pierwszeństwo przed postanowieniami Procedury i RCP.

2.4. Dane osobowe mogą być przetwarzane dłużej niż wynosi okres retencji, w przypadku gdy są one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych (na zasadach określonych w art. 89 ust. 1 RODO), pod warunkiem że wdrożone są odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności Podmiotów danych.

3. Okresy retencji Danych osobowych

3.1. Okresy retencji danych zostały określone w RCP.

3.2. Ustalając okresy retencji, uwzględniono w szczególności:

3.2.1. obowiązki prawne ciążące na Administratorze w zakresie przechowywania określonych Danych osobowych lub dokumentów zawierających Dane osobowe, wynikające z właściwych przepisów prawa;

3.2.2. potencjalną niezbędność przetwarzania Danych osobowych dla celów związanych z ustalaniem lub dochodzeniem roszczeń oraz obroną przed takimi roszczeniami i związane z tym okresy przedawnienia roszczeń wynikające z właściwych przepisów prawa.

3.3. Okresy retencji określone w RCP mogą ulegać zmianie w związku ze zmianą obowiązujących przepisów prawa mających wpływ na okres retencji lub w związku z decyzją Administratora, o czym osoby zatrudnione w organizacji Administratora oraz z nią współpracujące zostaną poinformowane.

4. Usuwanie Danych osobowych

4.1. Za faktyczne usuwanie (anonimizację) Danych osobowych zgodnie z obowiązującymi okresami retencji odpowiedzialna jest Osoba dedykowana.

4.2. Przed usunięciem (anonimizacją) Danych osobowych należy zweryfikować, czy nie zachodzą przesłanki wydłużenia okresu retencji, w szczególności poprzez sprawdzenie, czy:

4.2.1. nie występuje obowiązek prawny ciążący na Administratorze, którego wykonanie wymaga przetwarzania Danych osobowych, a który nie został uwzględniony w RCP;

4.2.2. nie nastąpiło przerwanie lub zawieszenie okresu przedawnienia roszczeń, zgodnie z właściwymi przepisami, skutkujące koniecznością dalszego przetwarzania Danych osobowych;

4.2.3. dalsze przechowywanie nie jest konieczne w związku z biegnącym okresem przedawnienia zobowiązań podatkowych.

4.3. W razie wątpliwości przed usunięciem (anonimizacją) Danych osobowych Osoba dedykowana zasięga opinii IOD/KODO.

4.4. Usunięcie (anonimizacja) Danych osobowych powinno nastąpić niezwłocznie po upływie okresu retencji, z uwzględnieniem okresu koniecznego do podjęcia niezbędnych czynności technicznych i organizacyjnych związanych z usunięciem (anonimizacją) Danych osobowych.

5. Postanowienia końcowe

5.1. Procedura wchodzi w życie z dniem 01 stycznia 2023 r.