Retencja i usuwania danych osobowych

Przetwarzasz dane osobowe, aby osiągnąć zdefiniowany przez siebie cel. Tym celem może być wysyłka zamówionego towaru, obsługa zgłoszenia reklamacyjnego czy przetwarzanie danych osobowych w ramach prowadzonego procesu rekrutacji. Myślę, że Cię nie zaskoczę, gdy powiem, że każdy z tych celów kiedyś zostanie zrealizowany. Towar zostanie wysłany, reklamacja rozpatrzona, a nowy pracownik zatrudniony. Nastąpi zatem moment, w którym przestaniesz mieć podstawę do dalszego zgodnego z prawem przetwarzania danych osobowych. A co za tym idzie, musisz pozyskane dane usunąć.

Jak długo mogę trzymać dane?

To jak długo możesz przetwarzać dane osobowe, jest jasno określone w art. 5 ust. 1 lit. e Rozporządzenia

przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; (...)

Art. 5 ust. 1 lit. e (fragment) RODO

Jak widzisz, co do zasady nie jest dozwolone trzymanie danych w nieskończoność. Co więcej, musisz jasno określić, kiedy w odniesieniu do konkretnych danych wygaśnie ustalony przez Ciebie cel przetwarzania. Jeżeli przetwarzasz dane osobowe, gdyż jesteś do tego zobligowany wymogami prawa, to masz ułatwioną sytuację. To z zapisów konkretnej ustawy czy rozporządzenia będzie wynikać, przez jaki okres musisz zbiór danych przetwarzać.

W nieco bardziej skomplikowanej sytuacji jesteś, gdy retencja danych ma dotyczyć projektowanego przez Ciebie procesu biznesowego. W takim wypadku, to ty ustalasz po jakim czasie uzyskane dane osobowe będziesz kasował. Decyzja ta jest ściśle powiązana ze zrealizowaniem lub wygaśnięciem celu jaki realizujesz. Zatem nie mogą być to wartości nierealne. Kontroler na pewno podważy zasadność przechowywania maili przez 20 lat.

Określając czas retencji danych osobowych najlepiej wybrać metodę, która łączy ze sobą zdroworozsądkowe podejście i kompetentną analizę potrzeb związanych z realizacją wskazanego celu. Dla każdej z czynności przetwarzania w swojej firmie musisz wskazać planowany termin usunięcia przetwarzanych w niej danych. Informację o czasie retencji dla każdej z czynności musisz odnotować w rejestrze czynności przetwarzania, który jest podstawowym dokumentem, który każdy przedsiębiorca musi prowadzić.

Nie zapomnij o jednej z najważniejszych zasad stosowania RODO, jaką jest zasada rozliczalności. To ty jako administrator musisz udowodnić, że spełniasz wymogi RODO. Mieści się w tym także udowodnienie, że przyjęte polityki retencji są rzeczywiście wdrożone. W przypadku systemów IT dowodem na wdrożenie retencji będzie udokumentowany zautomatyzowany proces kasowania danych. Dowodem na skasowanie zaś będą logi z serwera lub usługi.

Jak określić czas retencji?

Sam termin usunięcia danych przetwarzanych w ramach wybranej czynności nie musi być określony jako sztywna data. Jeżeli prowadzisz swój newsletter to przetwarzasz adresy e-mail osób, które się do niego zapisały. W tym przypadku cel przetwarzania realizujesz tak długo, jak dana osoba będzie z własnej woli zapisana na listę newslettera. Zatem jako czas retencji w takim przypadku należy określić dwa momenty – gdy dana osoba się wypisze z newslettera oraz gdy zrezygnujemy z jego dalszego wysyłania.

Jeżeli prowadzisz sklep internetowy, to dobrze wiesz, że Twój klient ma prawo do zwrotu towaru. Może także zażądać wymiany lub naprawy sprzętu w ramach rękojmi, lub gwarancji. W zależności od sprzedawanego przez Ciebie produktu, a także tego, czy kupuje go osoba prywatna, czy inna firma, czas na skorzystanie z tych praw może się różnić. Musisz przetwarzać dane także przez cały czas, gdy wykonywane są czynności związane z gwarancją czy rękojmią. W takim wypadku w polityce prywatności możesz zapisać, że w odniesieniu do tych czynności przetwarzasz dane tak długo, jak nie wygasną podstawy prawne do wniesienia i rozpatrzenia wskazanych roszczeń ze strony konsumenta. W samym rejestrze czynności przetwarzania powinieneś te terminy opisać nieco dokładniej, odnotowując także odpowiednią ich podstawę prawną.

Poczta elektroniczna to podstawowe medium komunikacji w wielu firmach. Nie da się zaprzeczyć, że w ten sposób przetwarzane są dane osobowe. Mogą być zawarte w treści maila, ale też w adresie i opisie nadawcy czy wszystkich osób, do których dana wiadomość jest adresowana. Zatem także w odniesieniu do poczty elektronicznej musisz określić czas retencji danych. W tym przypadku najczęściej stosuje się podejście oparte na przedziale czasu, w którym dane są przetwarzane. Rozsądnym wydaje się określenie, że każdy e-mail jest przechowywany przez 2 lata od momentu jego otrzymania, potem trafia na kolejne 2 lata do archiwum. Gdy upłynie okres 4 lat jest on automatycznie usuwany.

Etykieta przechowywania

Dane musimy umieć przechować a potem umieć je usunąć. To spory kłopot, ponieważ dane lubią podróżować – niektóre wewnątrz, niektóre poza firmę. Usuwanie z własnego komputera jest kłopotem. A jak usunąć informacje z nieswojego komputera? To już wyczyn – pomyślisz. Uwolnię Cię dziś od tego problemu. Od Ciebie wymagam tylko, żebyś kliknął o jeden raz więcej niż dotychczas. Od siebie – no cóż, ktoś to musi skonfigurować i dostarczyć. Więc do roboty.

Pisząc wiadomość możesz zastosować wobec niej etykietę przechowywania. Określa ona jak długo należy przechowywać element i co ma się wydarzyć potem. Pozwala to realizować proste scenariusze chroniąc nas raczej przed usunięciem wiadomości, które jednak powinny polegać zasadom retencji. Można również zadziałać odwrotnie – zmusić wiadomości do skasowania się np. po upływie miesiąca. To najprostsze rozwiązania. Trzeba pamiętać, że dotyczą one wyłącznie nadawcy. U adresata zadziała zupełnie coś innego.

Więcej możliwości dają etykiety archiwizacji zastosowane do zbioru dokumentów na OneDrive lub Sharepoint. Dla OneDrive wybieramy całe konto (nie nadaje się dla naszych celów). Dla SharePoint – witrynę – czyli zbiór dokumentów. To będzie nasze główne repozytorium CV. Każdy dokument tam umieszczony będzie usuwany w terminie 62 dni od daty utworzenia (lub modyfikacji). Trzeba pamiętać, że automat będzie bezlitosny – usunie licząc od daty utworzenia, a nie od umieszczenia dokumentu. Tworzenie takiego magazynu trwało około 3 minut, tworzenie polityki też niewiele więcej. Propagacja zasad retencji to 7 dni. Wszystko w zasięgu małych firm. Czy jest to rozwiązanie idealne – nie. Aby dodać pancerności, należałoby przynajmniej zablokować pobieranie. Wszystko do zrobienia.

Czułe dane - klasyfikacja i ograniczanie czasu dostępu do informacji

Magazyn działa, a co z dokumentami, które musimy jednak wysłać poza firmę? W tym pomogą czułe dane. Czuły narrator – wszyscy wiemy, kto to powiedział. Czułe dane natomiast, to pewien niezamierzony efekt translatorski Microsoft, gdy sensitivity miesza się z sensibility… Tak czy owak, dziś ustawiamy czułość danych osobowych. Etykiety klasyfikacji i ochrony Microsoft Information Protection pozwalają określić 3 parametry: kto, na jakich zasadach i do kiedy ma trwałe prawa dostępu do dokumentu. Kto – czyli adres e-mail lub domena odbiorcy (upraszam). Co – czyli tylko wyświetlanie, +edytowanie, +kopiowanie i drukowanie, +wszystkie uprawnienia. Do kiedy – nie wymaga komentarza. Takie prawa wpisane są trwale do pliku Office (Word, Excel, PowerPoint, Outlook). Jeśli współpracujemy regularnie z firmami, do których wysyłamy dokumenty, to wszystkie elementy ochrony, w tym adresy e-mail odbiorców lub ich domeny – od razu wpisujemy do etykiety. Dzięki temu etykietę nadamy plikom nie tylko na komputerze (Windows), ale również na telefonie i Mac’u. Jeśli to nieregularny odbiorca (za każdym razem inne osoba / firma), to ustawienia indywidualne – w tym datę końcową – można wprowadzać tylko na Windows (wymaga doinstalowania małego programu, RedFlag zrobi to za Ciebie).

A co z PDFem? Jest coraz lepiej. Ochronę do pliku PDFa można dodać na Windows. Odczytać w Adobe Reader z doinstalowanym dodatkiem (proste) albo – i to jest hit – w nowym Microsoft Edge (Chromium) bez niczego.

Warunkiem jest zalogowanie się kontem, które ma mieć dostęp do pliku. Tym sposobem dochodzimy do pytania – na jakiej podstawie odbiorca jest autoryzowany do odczytu naszego dokumentu? Nie wchodząc w szczegóły – na podstawie tego, czy korzysta z czegokolwiek z rodziny Office 365. Nie musimy go nawet pytać. Wystarczy wejść na stronę https://go.microsoft.com/fwlink/?LinkId=524168 i wpisać adres odbiorcy. Jeśli go nie ma – nie odczyta, jednak może się zarejestrować. To nic nie kosztuje. Jeśli bezpieczeństwo i ochrona informacji ma dla niego znaczenie – kliknie dwa razy. Jeśli nie ma – to niepotrzebnie dotarliśmy do tego miejsca. Inne sposoby otwarcia pliku przez przeglądarkę lub nadania uprawnień w produktach online jeszcze nie zadziałają. Wyjątkiem jest Outlook w przeglądarce. Reszta dopiero przed nami.

Wracając do sedna, retencja plików z danymi osobowymi wysyłanymi na zewnątrz może być kontrolowana tylko przez technologię Microsoft Information Protection dostępną w Microsoft 365 Business. Jeśli ktoś używa z G-Suite, to nie skorzysta z dobrodziejstw bezpieczniejszego przetwarzania danych osobowych. Każdy ma wybór.

Żądanie usunięcia

No to mamy kłopot. O ile usunięcie subskrybenta z newslettera jest łatwe, o tyle z innych dokumentów już mniej. W newsletterach musi być symetria – czyli powinno się umożliwić rezygnację tak samo łatwo, jak dać się zapisać. Polecam Microsoft Forms – ma każdy kto używa przynajmniej Office 365 Business Essentials. Wystarczy, że pierwszym pytaniem jest wybór: zapisać się czy zrezygnować. Potem pobieramy raport i usuwamy rekord z głównego pliku formularza. Jeśli człowiek nam się błąka po plikach, to należy go wyszukać. I w tym jest siła retencyjna chmury – mamy wszystko pod kontrolą a automaty zrobią swoją robotę.

Czasami trzeba usunąć dane pracownika. Wyszukanie wszystkich jego danych zgromadzonych na chmurze zajęło mi 45 sekund. Wystarczy założyć nowe żądanie usunięcia – tak! Microsoft 365 Business ma taką funkcję. Wyszukuje… wszystko. Lista zawiera 30 typów działań. Przeszukiwane są wiadomości, dokumenty i posty na Teamsach (właśnie!), których nasz pracownik był autorem, uczestnikiem lub które stworzył. Potem już tylko przegląd i decyzja. Oto komunikat jaki uzyskałem u siebie: wyświetlono 1-50 z 832 próbkowanych elementów do podglądu; łączna szacowana liczba wyników indeksowanych: 8,102 (10.21 GB). Dokumenty zaszyfrowane nie wpuszczą Cię do środka, jeśli dostępu do nich oryginalnie nie miałeś lub czas otwarcia upłynął. Witaj w świecie danych cyfrowych. I pomyśl, ile czasu zajęłoby Ci to innymi metodami.

Dla dużych graczy - zarządzanie rekordami (wersja testowa)

Tak zwany compliance (zgodność z przepisami prawa) to dziedzina równoległa do bezpieczeństwa. Dlatego duże firmy będą otrzymywać coraz bardziej złożone narzędzia do zarządzania rekordami danych. Można przypisywać zasady retencji i usuwania do określonych czynności, takich jak zatrudnienie. Dzięki temu wszystkie dane, które związane są z tą czynnością podlegają określonym regułom przechowywania a ich usuwanie podlega okresowym przeglądom. Pomysł jest słuszny. Bez niego duże firmy utoną w ilości przechowywanej informacji. To jednak jest kombajn, który najpierw trzeba zrozumieć, potem zaprogramować, po czym nauczyć innych i jeszcze egzekwować na co dzień. Robota na cały etat.

Droga mała i średnia firmo. Spróbuj zrobić te wszystkie czynności na infrastrukturze, którą posiadasz. Jeśli się okaże, że nie możesz, to sprawdź, czy nie potrzebujesz usług RedFlag

Może się okazać, że potrzebujesz RODOwskazu. O najlepszych praktykach wprowadzania RODO w małych i średnich firmach pisze Piotr Wojciechowski, przedsiębiorca taki jak my. Koniecznie sprawdź, bo RODO okazuje się nie być takie trudne.

Sebastian Pawłowski

Sebastian Pawłowski

Jest Certyfikowanym Trenerem Microsoft. Zajmuje się cyberbezpieczeństwem i wdrażaniem technologii zabezpieczeń w usługach Microsoft 365. Od 18 lat związany jest z branżą IT. Pracował w Dell, Tech Data i Microsoft. Teraz prowadzi własną firmę RedFlag dostarczającą gotowy pakiet cyberbezpieczeństwa dla małych i średnich firm.

Piotr Wojciechowski

Piotr Wojciechowski

Jest ekspertem z zakresu sieci komputerowych (CCIE #25543). W branży od ponad 15 lat. Współpracował z największymi firmami w Polsce i za granicą, obecnie działa jako niezależny konsultant. Pokazuje, ze wdrożenie RODO w małej firmie to nie tylko kwestia zgodności z prawem, ale przeniesienie firmy na wyższy poziom pracy grupowej i bezpieczeństwa informacji.

Wyślij mi e-book i informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.pl, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO