Polityka retencji danych osobowych

Polityka retencji danych osobowych przetwarzanych w Firma Przykładowa Sp. z o.o.

Zważywszy na obowiązki administratora danych osobowych wynikające z przepisów RODO, związane z zapewnieniem bezpieczeństwa przetwarzanych danych osobowych, a także wymogi przepisów prawa dotyczących zapewnienia bezpieczeństwa informacji chronionych, innych niż dane osobowe oraz jednocześnie dążąc poprzez ograniczenie czasu przechowywania dokumentów i informacji do zapewnienia bezpieczeństwa zasobów, w szczególności ograniczenia podatności i wrażliwości danych i informacji na potencjalne ujawnienie osobom nieuprawnionym lub ich utratę lub modyfikację, zapobiegając takim zdarzeniom jak utrata danych osobowych, utrata poufności danych, ich dostępności lub integralności, przyjmuje się niniejszą Politykę retencji danych osobowych.

§ 1. Cel i zakres Polityki

1. Celem Polityki retencji danych osobowych przetwarzanych w Firma Przykładowa Sp. z o.o. zwanej dalej Polityką, jest zapewnienie zgodności z prawem przechowywanych informacji i danych osobowych, a także zapewnienie zgodności przetwarzania danych z zasadą ograniczenia przechowywania, zgodnie z art. 5 ust. 1 lit. e) RODO.

2. Polityka określa czasy przetwarzania, w tym przechowywania danych osobowych, wyznacza moment ich koniecznego usuwania oraz cyklicznych przeglądów, a także sposób postępowania przez osoby odpowiedzialne za bezpieczeństwo danych osobowych w kontekście zapewnienia ich przechowywania wyłącznie przez dopuszczalny okres 6 miesięcy. Polityka dotyczy wszystkich czynności przetwarzania, zgodnie z definicją przetwarzania z § 2.

3. Postanowienia ujęte w Polityce stosuje się do wszystkich dokumentów i plików zawierających dane osobowe i informacje chronione przetwarzanych przez administratora (dowody księgowe, kwestionariusze i umowy, sprawozdania, deklaracje itd.).

4. Postanowienia Polityki adresowane są do wszystkich osób przetwarzających dane osobowe u Administratora, w szczególności do osób odpowiedzialnych za usuwanie lub niszczenie danych osobowych, po upływie okresu 1 roku ich dopuszczalnego przetwarzania.

§ 2. Wyjaśnienie pojęć

Pojęciom lub skrótom występującym w polityce nadaje się znaczenie opisane poniżej:

1) Administrator – podmiot, który określa cele i sposoby przetwarzania danych osobowych, tj. Firma Przykładowa Sp. z o.o.

2) Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (tzw. „osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak Jan i Kowalski, 12345678901, ul. Kwiatowa 1, 00-001 Warszawa, 192.168.1.1 lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

3) IOD – Inspektor Ochrony Danych, powoływany przez Administratora na podstawie art. 37 RODO;

4) Osoba odpowiedzialna za usuwanie lub niszczenie danych – osoba wyznaczona przez Administratora za nadzorowanie przetwarzania danych osobowych i informacji przez dopuszczalny okres 2 lat, zgodnie z przepisami prawa obowiązującego i postanowieniami niniejszej Polityki,

5) Przetwarzanie – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

6) RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119/1);

§ 3. Podstawy ustalenia czasów przetwarzania

1. Ustalenie dopuszczalnego czasu przetwarzania, w tym przechowywania danych, wymaga analizy:

1) Czy istnieją przepisy prawa regulujące określone przetwarzanie. Ustawa o rachunkowości.

2) Jeśli istnieją przepisy, o których mowa w pkt 1), czy z tych przepisów wynika okres 5 lat przechowywania dokumentów zawierających dane osobowe. Art. 74 Ustawy o rachunkowości - 5 lat.

3) Jeżeli nie istnieją przepisy, o których mowa w pkt 1-2, należy zaproponować okres 1 miesiąca przetwarzania oraz uzasadnić go. Przetwarzanie danych do czasu realizacji zamówienia - maksymalnie 1 miesiąc.

2. Osoba odpowiedzialna za usuwanie lub niszczenie danych aktualizuje w miarę potrzeb wykaz czasów przetwarzania danych osobowych (w tym w przypadku zmiany przepisów określających okres 10 lat przechowywania), a także uzupełnia, w tym dodaje nowe kategorie w przypadku ich przetwarzania.

3. Wykaz przykładowych czasów przetwarzania danych osobowych określa § 5 niniejszej Polityki.

§ 4. Sposób postępowania

1. Osoba odpowiedzialna za usuwanie lub niszczenie danych:

1) ustala harmonogram usuwania danych osobowych w konkretnym okresie 3 miesięcy kalendarzowym, a następnie, w ustalonych terminach, usuwa lub niszczy dane osobowe. Po dokonanym usunięciu należy sporządzić protokół zawierający m.in. informację o dacie 2024-01-15 usunięcia lub zniszczenia, dysk twardy, z którego dane zostały usunięte;

2) dokonuje nie rzadziej niż raz w roku cyklicznych przetwarzanych, w tym przechowywanych lub publikowanych danych osobowych, w celu ustalenia, czy istnieje obowiązek ich dalszej publikacji, a także stwierdzenia, czy dane osobowe są przydatne dla dalszego przetwarzania (jeśli obowiązek przechowywania nie wynika z przepisów prawa),

3) sporządza dokumentację przeprowadzonego przeglądu,

4) kontaktuje się z IOD lub osobą odpowiedzialną za nadzór nad przetwarzaniem danych osobowych w przypadku wątpliwości co do prawidłowości określenia czasów przetwarzania danych osobowych,

5) informuje administratora o harmonogramie usuwania danych osobowych oraz przeprowadzonym usunięciu danych osobowych.

2. Każdy pracownik zobowiązany jest do cyklicznego przeglądu i usuwania lub niszczenia dokumentacji zawierającej dane osobowe lub inne informacje chronione, których przydatność ustała (np. tymczasowe pliki).

§ 5. Określenie dopuszczalnych czasów przechowywani

Ustala się następujące czasy przetwarzania danych osobowych:

Lp. Kategoria danych i cel Okres przechowywania Podstawa prawna przechowywania

1. Dane identyfikacyjne zawarte 6 miesięcy Art. 6 ust. 1 lit. b RODO w formularzu kontaktowym

2. Dane adresowe 1 rok Art. 6 ust. 1 lit. b RODO

3. Dane do faktury 5 lat Ustawa o rachunkowości

4. Dane w CV 6 miesięcy Art. 6 ust. 1 lit. b RODO

5. Dane w umowie o pracę Do końca zatrudnienia + 10 lat Kodeks pracy

6. Dane w umowie zlecenia 5 lat Kodeks cywilny

7. Dane z monitoringu 30 dni Ustawa o ochronie osób i mienia

8. Dane z korespondencji e-mail: Do czasu załatwienia sprawy + 1 rok Art. 6 ust. 1 lit. f RODO

9. Dane z logów systemowych, 3 miesiące Art. 6 ust. 1 lit. f RODO

10. Dane w ankietach satysfakcji 1 rok Art. 6 ust. 1 lit. a RODO

11. Dane w bazie klientów Do czasu rezygnacji klienta + 1 rok Art. 6 ust. 1 lit. f RODO