I. Wstęp

1. Cel.

Polityka retencji danych określa zasady ustalania czasu przetwarzania danych osobowych zbieranych w Efectownia Sp. z o.o. (dalej Efectownia) w celach realizacji istniejących procesów biznesowych.

Polityka ma na celu zapewnić realizację wymogów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej „RODO”) w odniesieniu do zasady ograniczonego przetwarzania danych osobowych, o której mowa w art. 5 ust. 1 lit. e RODO. Zgodnie z wymaganiami – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

2. Aktualizacja dokumentu.

Niniejszy dokument podlega corocznym przeglądom dokonywanym przez pracowników Efectownia i jest uaktualniany, jeśli to stosowne. Zmiana zasad określonych w niniejszym dokumencie wymaga uchwały Zarządu Efectownia.

3. Zastosowanie.

Polityka retencji ma zastosowanie do wszystkich pracowników Efectownia i osób współpracujących z Efectownia, a także innych osób dopuszczonych do przetwarzania danych osobowych w Efectownia.

4. Powiązania z innymi dokumentami.

Niniejszy dokument zawiera szczegółowe zasady dotyczące procedury archiwizacji danych i ich utylizacji, w odniesieniu do rodzajów nośników, na których zostały one zapisane, określonych w dokumentach Polityki ochrony danych w Efectownia.

II. Zasady postępowania przy ustalaniu czasu retencji danych osobowych

1. Zgodnie z wymaganiami RODO dla każdego rozpoznanego procesu przetwarzania danych osobowych (czynności przetwarzania) należy określać okres, przez który dane osobowe, przetwarzane w ramach tego procesu, będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.
2. Kryteria ustalania okresu, o których mowa w ust. 1, mogą być określane w poniższy sposób:
3. do czasu zakończenia realizacji umowy i związanych z tym roszczeń;
4. do czasu wycofania zgody lub zgłoszenia sprzeciwu;
5. przez okres wymagany przez przepis prawa.
6. W ramach zgłaszania do Inspektora Ochrony Danych lub Administratora danych osobowych informacji o każdym nowym procesie przetwarzania danych osobowych lub zmianie w już istniejącym – zgodnie z Polityką ochrony danych, Kierownik komórki organizacyjnej Efectownia podaje na formularzu zgłoszeniowym informacje o zakładanym czasie przetwarzania danych w danym procesie.
7. Prawidłowość i zasadność czasu, o którym mowa w pkt. 3, są konsultowane przez Administratora danych osobowych lub Inspektora Ochrony Danych z Prawnikiem, zapewniającym w Efectownia obsługę prawną.
8. W odniesieniu do rozpoznanych procesów przetwarzania danych osobowych w Efectownia, Prawnik weryfikuje czasy retencji danych wynikające z przepisów prawa i przekazuje te informacje do Administratora danych osobowych lub Inspektora Ochrony Danych.
9. Administrator danych osobowych lub Inspektor Ochrony Danych zamieszcza informacje o ustalonych czasach retencji w:
10. „Wykazie retencji danych osobowych w Efectownia”, który stanowi Załącznik do niniejszej Polityki;
11. „Rejestrze czynności przetwarzania danych osobowych Efectownia”.
12. Informacje dotyczące ustalonego czasu, przez który dane osobowe będą przechowywane, lub kryteria ustalania tego okresu należy zamieszczać w klauzulach informacyjnych podczas realizacji procesu zbierania danych osobowych, zarówno bezpośrednio od osoby, której dane dotyczą zgodnie z art. 13 RODO, jak i w sytuacji zbierania danych z innych źródeł zgodnie z art. 14 RODO.
13. Kierownicy komórek organizacyjnych Efectownia odpowiedzialni za proces zbierania danych osobowych, w tym tworzenie dedykowanych klauzul informacyjnych, zamieszczają w nich informacje o czasie retencji zgodnie z „Wykazem retencji danych osobowych w Efectownia”.
14. W przypadku zmiany celu przetwarzania danych lub zmiany kryterium ustalenia czasu retencji konieczna jest ocena celu, adekwatności i czasu przetwarzania danych w odniesieniu do nowego celu.
15. W przypadku zmiany celu przetwarzania w danym procesie Kierownik komórki organizacyjnej Efectownia wypełnia formularz zgłoszenia/zmiany procesu przetwarzania danych i przekazuje go do Administratora danych osobowych lub Inspektora Ochrony Danych (zgodnie z Polityką ochrony danych) wraz z informacjami o zakładanym czasie przetwarzania danych.

III.          Zasady postępowania przy usuwaniu danych po ustalonym czasie retencji

1. Obowiązek usunięcia danych osobowych zależy od wystąpienia określonego zdarzenia (które powiązane jest z celem przetwarzania danych), tj. w szczególności:
2. od cofnięcia zgody przez osobę, której dane dotyczą – jeżeli podstawą prawną przetwarzania jest art. 6 ust. 1 lit. a RODO – w przypadku przetwarzania danych na podstawie zgody;
3. od wyrażenia sprzeciwu przez osobę, której dane dotyczą – jeżeli podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f RODO – jeżeli przetwarzanie danych jest niezbędne w celu realizacji uzasadnionego interesu administratora (w celu prowadzenia marketingu bezpośredniego);
4. od przedawnienia roszczeń – jeżeli dane były uprzednio przetwarzane w celu realizacji umowy;
5. od upływu terminów wynikających z przepisów prawa – w odniesieniu do danego procesu przetwarzania danych.
6. W sytuacji zakończenia ustalonego czasu przetwarzania danych osobowych w danym procesie, Kierownik komórki organizacyjnej Efectownia, w zależności od rodzaju nośnika, na którym dane są zapisane, podejmuje działania zgodnie z przyjętymi w Efectownia procedurami dotyczącymi usuwania danych z nośników elektronicznych lub brakowania dokumentacji papierowej.
7. ASI ustala w porozumieniu z Administratorem danych osobowych lub Inspektorem Ochrony Danych zasady dotyczące usuwania bądź anonimizacji danych, które są przetwarzane w systemie informatycznym
8. Administrator danych osobowych lub Inspektor Ochrony Danych okresowo monitoruje realizację wymogów dotyczących usuwania lub anonimizacji danych osobowych.
9. Administrator danych osobowych lub Inspektor Ochrony Danych po zakończeniu ustalonego czasu przetwarzania danych dla danego procesu przetwarzania danych usuwa wpis dotyczący tego procesu z rejestru czynności przetwarzania.

Załącznik – Wykaz retencji danych osobowych w Efectownia Sp. z o.o.