Retencja danych jest tematem bardzo trudnym do zrozumienia. O ile w przypadku danych osobowych, których przechowywanie jest niezbędne aby spełnić wymaganie z przepisu prawa, określenie zarówno czasu jak i zakresu jest stosunkowo proste. O tyle dane przetwarzane na podstawie innych przesłanek mogą rodzić już pewne dylematy i wątpliwości co do okresu przechowywania.

Reklama

Wiele publikacji branżowych wskazuje na fakt, że odpowiednia retencja spełnia wymagań  

art. 5.1.b RODO:

Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; (…)

oraz art 5.1.e RODO:

Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; (…)

W niektórych przypadkach niestety samo określenie celu może okazać się niewystarczające do wskazania czasu i zakresu przetwarzanych danych osobowych. Przykład, który bardzo często się przewija w obszarze samodzielnego określania kryteriów retencji danych to CV. Czas jaki przedsiębiorcy określają to czasem 3 miesiące, czasem rok, a czasem CV trzymane są jako swoista baza danych kandydatów niemalże bez ograniczeń.

Czy dane są wciąż aktualne?

W przypadku danych osobowych zawartych w CV może się zdarzyć że już po roku a nawet wcześniej dane będą nieaktualne. Oznaczać to będzie, że administrator naruszy zasadę prawidłowości danych osobowych, o której mowa w at. 5.1.d:

Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

Jak widać prawodawca nałożył dodatkowe obowiązki na administratora w celu utrzymania prawidłowości danych osobowych i CV jest doskonałym przykładem nośnika danych, które mogą dość szybko stracić na aktualności. Pełnemu omówieniu nadzoru nad prawidłowością danych będzie poświęcona inna publikacja.

Wracając do kryterium retencji danych czyli określenia czasu po którym dane powinniśmy usunąć warto wprowadzić dodatkowy element, który da nam wskazówki.

Czego dotyczy zestaw danych?

Aktualne informacje

Jeśli dane zawarte w CV mają dotyczyć bieżącego stanu, tj kandydata do pracy – to dane powinny być aktualne. A więc aktualizowane bądź usunięte, jako niespełniające zasady prawidłowości danych. Okres uzależniony jest od konkretnej branży, ale można uznać, że np. rok czasu to już okres w którym osoba, której dane dotyczą ukończyła szkołę (jeśli była na ostatnim roku lub studia podyplomowe) czy kursu i szkolenia.

Ryzyko

Warto rozważyć okres retencji też w kontekście ryzyka. Jeśli dane w CV będą nieaktualne to osoba może zostać zatrudniona, mimo że już posiada odpowiednie kwalifikacje i kompetencje.

Informacje na dzień zebrania danych

W niektórych przypadkach dane osobowe przechowujemy (a więc też przetwarzamy) w formie niezmienionej od dnia pozyskania. Może to też dotyczyć CV.

Przykład:

Stanowisko bardzo prestiżowe, na które spłynęło wiele CV. Niektórzy kandydaci zostali odrzuceni we wcześniejszej fazie, pozostała niewielka grupa, której zatrudnienie zależało od kolejnych rozmów. Pojawiło się ryzyko zarzutów o dyskryminację przy zatrudnieniu.

W takiej sytuacji nasuwa się pytanie, czy administrator może przechowywać dalej CV i jak długo? Oczywiście rozważyć należy, czy chroniąc się przed roszczeniami, administrator nie narusza innych regulacji i czy środki i metody wymagają przetwarzania CV.

Podsumowanie

Zastanawiając się nad kryterium retencji i ustalając czas i zakres przechowywanych danych osobowych, warto się zawsze zastanowić, czy dane dokumentują stan faktyczny na dzień ich gromadzenia, czy dotyczą aktualnej sytuacji i informacji aktualnych o osobie. Rozważanie takie nie musi być wykonane w bardzo formalny sposób, ale warto aby pozostały gdzieś zapisy, np. w postaci notatek, wymiany informacji. Dzięki temu łatwo będzie uzasadnić wybory i decyzje i odpowiedzieć na pytania:

  • Osoby, której dane dotyczą, w przypadku dopełniania obowiązków informacyjnych;
  • Inspektora organu nadzorczego.