Polityka retencji danych osobowych Efectownia Sp. z o.o.
I. Wstęp
- Cel.
Polityka retencji danych określa zasady ustalania czasu przetwarzania danych osobowych zbieranych w Efectownia Sp. z o.o. (dalej Efectownia) w celach realizacji istniejących procesów biznesowych.
Polityka ma na celu zapewnić realizację wymogów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej „RODO”) w odniesieniu do zasady ograniczonego przetwarzania danych osobowych, o której mowa w art. 5 ust. 1 lit. e RODO. Zgodnie z wymaganiami – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
- Aktualizacja dokumentu.
Niniejszy dokument podlega corocznym przeglądom dokonywanym przez pracowników Efectownia i jest uaktualniany, jeśli to stosowne. Zmiana zasad określonych w niniejszym dokumencie wymaga uchwały Zarządu Efectownia.
- Zastosowanie.
Polityka retencji ma zastosowanie do wszystkich pracowników Efectownia i osób współpracujących z Efectownia, a także innych osób dopuszczonych do przetwarzania danych osobowych w Efectownia.
- Powiązania z innymi dokumentami.
Niniejszy dokument zawiera szczegółowe zasady dotyczące procedury archiwizacji danych i ich utylizacji, w odniesieniu do rodzajów nośników, na których zostały one zapisane, określonych w dokumentach Polityki ochrony danych w Efectownia.
II. Zasady postępowania przy ustalaniu czasu retencji danych osobowych
- Zgodnie z wymaganiami RODO dla każdego rozpoznanego procesu przetwarzania danych osobowych (czynności przetwarzania) należy określać okres, przez który dane osobowe, przetwarzane w ramach tego procesu, będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.
- Kryteria ustalania okresu, o których mowa w ust. 1, mogą być określane w poniższy sposób:
- do czasu zakończenia realizacji umowy i związanych z tym roszczeń;
- do czasu wycofania zgody lub zgłoszenia sprzeciwu;
- przez okres wymagany przez przepis prawa.
- W ramach zgłaszania do Inspektora Ochrony Danych lub Administratora danych osobowych informacji o każdym nowym procesie przetwarzania danych osobowych lub zmianie w już istniejącym – zgodnie z Polityką ochrony danych, Kierownik komórki organizacyjnej Efectownia podaje na formularzu zgłoszeniowym informacje o zakładanym czasie przetwarzania danych w danym procesie.
- Prawidłowość i zasadność czasu, o którym mowa w pkt. 3, są konsultowane przez Administratora danych osobowych lub Inspektora Ochrony Danych z Prawnikiem, zapewniającym w Efectownia obsługę prawną.
- W odniesieniu do rozpoznanych procesów przetwarzania danych osobowych w Efectownia, Prawnik weryfikuje czasy retencji danych wynikające z przepisów prawa i przekazuje te informacje do Administratora danych osobowych lub Inspektora Ochrony Danych.
- Administrator danych osobowych lub Inspektor Ochrony Danych zamieszcza informacje o ustalonych czasach retencji w:
- „Wykazie retencji danych osobowych w Efectownia”, który stanowi Załącznik do niniejszej Polityki;
- „Rejestrze czynności przetwarzania danych osobowych Efectownia”.
- Informacje dotyczące ustalonego czasu, przez który dane osobowe będą przechowywane, lub kryteria ustalania tego okresu należy zamieszczać w klauzulach informacyjnych podczas realizacji procesu zbierania danych osobowych, zarówno bezpośrednio od osoby, której dane dotyczą zgodnie z art. 13 RODO, jak i w sytuacji zbierania danych z innych źródeł zgodnie z art. 14 RODO.
- Kierownicy komórek organizacyjnych Efectownia odpowiedzialni za proces zbierania danych osobowych, w tym tworzenie dedykowanych klauzul informacyjnych, zamieszczają w nich informacje o czasie retencji zgodnie z „Wykazem retencji danych osobowych w Efectownia”.
- W przypadku zmiany celu przetwarzania danych lub zmiany kryterium ustalenia czasu retencji konieczna jest ocena celu, adekwatności i czasu przetwarzania danych w odniesieniu do nowego celu.
- W przypadku zmiany celu przetwarzania w danym procesie Kierownik komórki organizacyjnej Efectownia wypełnia formularz zgłoszenia/zmiany procesu przetwarzania danych i przekazuje go do Administratora danych osobowych lub Inspektora Ochrony Danych (zgodnie z Polityką ochrony danych) wraz z informacjami o zakładanym czasie przetwarzania danych.
III. Zasady postępowania przy usuwaniu danych po ustalonym czasie retencji
- Obowiązek usunięcia danych osobowych zależy od wystąpienia określonego zdarzenia (które powiązane jest z celem przetwarzania danych), tj. w szczególności:
- od cofnięcia zgody przez osobę, której dane dotyczą – jeżeli podstawą prawną przetwarzania jest art. 6 ust. 1 lit. a RODO – w przypadku przetwarzania danych na podstawie zgody;
- od wyrażenia sprzeciwu przez osobę, której dane dotyczą – jeżeli podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f RODO – jeżeli przetwarzanie danych jest niezbędne w celu realizacji uzasadnionego interesu administratora (w celu prowadzenia marketingu bezpośredniego);
- od przedawnienia roszczeń – jeżeli dane były uprzednio przetwarzane w celu realizacji umowy;
- od upływu terminów wynikających z przepisów prawa – w odniesieniu do danego procesu przetwarzania danych.
- W sytuacji zakończenia ustalonego czasu przetwarzania danych osobowych w danym procesie, Kierownik komórki organizacyjnej Efectownia, w zależności od rodzaju nośnika, na którym dane są zapisane, podejmuje działania zgodnie z przyjętymi w Efectownia procedurami dotyczącymi usuwania danych z nośników elektronicznych lub brakowania dokumentacji papierowej.
- ASI ustala w porozumieniu z Administratorem danych osobowych lub Inspektorem Ochrony Danych zasady dotyczące usuwania bądź anonimizacji danych, które są przetwarzane w systemie informatycznym
- Administrator danych osobowych lub Inspektor Ochrony Danych okresowo monitoruje realizację wymogów dotyczących usuwania lub anonimizacji danych osobowych.
- Administrator danych osobowych lub Inspektor Ochrony Danych po zakończeniu ustalonego czasu przetwarzania danych dla danego procesu przetwarzania danych usuwa wpis dotyczący tego procesu z rejestru czynności przetwarzania.
Załącznik – Wykaz retencji danych osobowych w Efectownia Sp. z o.o.
Czas retencji danych | Podstawa prawna | Właściciel biznesowy komórka biznesowa | Sposób postępowania po okresie retencji (usunięcie/ anonimizacja/zmiana celu/ weryfikacja) |
|