Prowadzisz sklep internetowy? Sprawdź, jak długo mogą być przechowywane dane osobowe!
Porady

Prowadzisz sklep internetowy? Sprawdź, jak długo mogą być przechowywane dane osobowe!

27 Maja 2020

 

Rozporządzenie o ochronie danych osobowych, powszechnie znane jako RODO, w dużym stopniu przyczyniło się do zmian w pozyskiwaniu i przechowywaniu danych osobowych osób fizycznych. Wprowadzone przepisy regulują także kwestię czasu, w jakim przedsiębiorstwo może bez konsekwencji przetrzymywać takie informacje. 

Pod pojęciem danych osobowych kryją się wszelkie informacje, za pomocą których można zidentyfikować osobę fizyczną. Według zapisu widniejącego w rozporządzeniu RODO są to nie tylko podstawowe dane personalne (takie jak imię, nazwisko, adres, PESEL, numer dowodu, czy informacje kontaktowe), ale także wizerunek danej osoby, jej pochodzenie, przekonania,  a nawet przynależność do związku zawodowego.

Zasada ścisłego minimum

Celem RODO jest ochrona danych osobowych. Dlatego wszelkie zapisy w rozporządzeniu regulują zasady, jakimi powinny kierować się osoby, zajmujące się przetwarzaniem danych – a więc przede wszystkim właściciele firm. Zobaczmy, co to wszystko oznacza w praktyce.

Bez względu na to, czy pozyskiwane dane dotyczą pracowników, klientów czy kontrahentów, właściciel firmy powinien pobrać od osób fizycznych wyłącznie niezbędne informacje, umożliwiające osiągnięcie wyznaczonego celu (np. realizacji zamówienia czy rekrutowania pracowników). W rozporządzeniu nie widnieje osobny zapis, dotyczący tego, jakie dane oraz w jakiej ilości należy pozyskać, dlatego przedsiębiorca musi sam zdecydować, które informacje będą mu bezwzględnie potrzebne.

Zasada ścisłego minimum odnosi się także do przechowywania danych osobowych. W tej kwestii także nie istnieje określony zapis, dotyczący czasu, w którym firma może przetrzymywać dane osobowe osoby fizycznej. Z rozporządzenia jednak jasno wynika, iż nie można robić tego bezterminowo.

Informacje podane w dokumencie mówią o tym, iż wszelkie dane personalne mogą być przechowywane tylko i wyłącznie przez okres niezbędny do zrealizowania postawionych celów, do których zostały one pozyskane. Pomimo braku konkretnego zapisu na temat terminu przechowywania, dokument jasno obrazuje, że musi on zostać ograniczony do minimum.​​​​​​​

Jak określić czas przechowywania danych?

Choć RODO nie narzuca przedsiębiorcom konkretnego czasu przechowywania danych osobowych, nie mogą oni umieszczać w zgodach czy klauzulach informacyjnych adnotacji, mówiącej o tym, że dane będą przechowywane bezterminowo. Łamanie przepisu, dotyczącego ścisłego minimum może zakończyć się problemami prawnymi – szczególnie gdy administrator danych nie przedstawi logicznego powodu swojego działania.

Okres przechowywania danych zależy przede wszystkim od rodzaju działań, do których były one niezbędne. Istnieją także przepisy, mogące przedłużać, lub w niektórych przypadkach nawet skracać, czas przetwarzania danych osobowych. Zalicza się do nich chociażby przepisy, mówiące o przedawnieniach roszczeń, regulowane przez kodeks cywilny, czy zapisy pochodzące z ustaw o rachunkowości.

W przypadku, w którym podstawą przetwarzania danych osobowych jest zgoda osoby fizycznej, czas ich przechowywania obowiązuje do momentu, kiedy nie zostanie ona cofnięta. Po odwołaniu zgody dane są przechowywane do czasu przedawnienia roszczeń, zarówno tych, zgłoszonych przez administratora danych, jak i tych, które mogą zostać przedstawione wobec jego osoby. W zależności od rodzaju roszczenia okres ten trwa od 6 miesięcy do 6 lat.

Jeżeli podstawę stanowi wykonywanie umowy, wówczas dane będą przetwarzane do czasu, w którym nie zostanie ona wykonana. Jednak także w tym przypadku obowiązuje okres przedawnienia roszczeń nawet po zakończeniu umowy.

Dane przechowywane przez dłuższy okres

Istnieją trzy okoliczności, w których dane osobowe mogą być przechowywane dłużej, niż przewiduje zasada ścisłego minimum. Dzieje się to w sytuacji, w której zostały one pozyskane do celów:

  • prowadzenia badań naukowych i/lub historycznych,
  • archiwalnych (wyłącznie do celów publicznych),
  • statystycznych.

Należy jednak pamiętać, że pomimo wydłużonego czasu, ich przechowywanie także nie ma prawa odbywać się bezterminowo. Zadaniem administratora jest też zapewnienie im odpowiedniej ochrony przez cały okres ich użytkowania.

Co z danymi sprzed RODO?

Dane osobowe, które zgromadzono przed wejściem w życie ustawy o RODO, muszą zostać dostosowane do aktualnie panujących zasad. Oznacza to, że przedsiębiorca powinien zweryfikować, czy zebrane dane pozyskano w zgodzie z obecnymi przepisami. W przypadku, w którym znacząco odbiegają one od wymogów regulowanych przez rozporządzenie RODO, najlepszym rozwiązaniem jest  ich usunięcie.

Przedsiębiorca powinien także upewnić się, czy posiada odpowiednie zgody od osób fizycznych, dotyczące możliwości przetwarzania ich danych osobowych. W momencie, w którym nie są one prawomocne, należy zadbać o ich aktualizację. Dane, które zostały pozyskane przed 25 maja 2018 roku, również nie mogą być przechowywane bezterminowo.

Weź na próbę i testuj abonament w InPost przez 3 miesiące!

Poświęć 1 minutę, zostaw kontakt do siebie i zacznij nadawać paczki już od 9,73 zł*.


  • Jedna umowa na paczki kurierskie i paczkomatowe
  • Darmowe podjazdy kurierskie
  • Ekspresowa dostawa
  • Gwarancja ceny przez okres trwania umowy
  • Opłata paliwowa wliczona w cenę
  • Dedykowana opieka posprzedażowa
* Cena netto za przesyłkę paczkomatową w abonamencie Midi Firma 600.

Wypełnij formularz, a szybko oddzwonimy

Dzieje się u nas dużo dobrego. Chcesz być na bieżąco? Jeśli to jeszcze przed Tobą, wyraź zgodę na otrzymywanie od InPost sp. z o.o. informacji o promocjach, produktach i usługach InPost sp. z o.o., innych spółek z Grupy Integer oraz podmiotów współpracujących z tymi spółkami za pośrednictwem:

Powyższe zgody są dobrowolne. Możesz wycofać je w każdym czasie poprzez wysłanie żądania na następujący adres e-mail: dane_osobowe@inpost.pl. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
Administratorem Twoich danych osobowych jest InPost sp. z o.o. z siedzibą w Krakowie (30-552), przy ul. Wielickiej 28.

Twoje dane będą przetwarzane w celu umożliwienia rejestracji, korzystania i obsługi konta w aplikacji mobilnej oraz w celach analitycznych i statystycznych. W razie wyrażenia stosownej zgody, Twoje dane będą przetwarzane również w celu wyświetlania powiadomień z aplikacji o treści marketingowej, kierowania treści marketingowych na podane przez Ciebie dane kontaktowe, w tym treści dopasowanych do Twoich preferencji w oparciu o profilowanie. Więcej informacji na temat przetwarzania danych osobowych, w tym o przysługujących Ci prawach znajduje się w Polityce Prywatności.