Polityka retencji danych

1. Wstęp
2. Cel

Polityka retencji danych określa zasady postępowania dotyczące ustalania czasu przetwarzania danych osobowych zbieranych w HABZA Group Sp. z o.o. (dalej HABZA)w celach realizacji istniejących procesów biznesowych.

Polityka ma zapewnić realizację wymogów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej „RODO”) w odniesieniu do zasady ograniczonego przetwarzania danych osobowych, o której mowa w art. 5 ust. 1 lit. d RODO. Zgodnie z wymaganiami dane osobowe muszą być  przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

1. Aktualizacja dokumentu.

Niniejszy dokument podlega corocznym przeglądom dokonywanym przez pracowników HABZA i jest uaktualniany, jeśli to stosowne. Zmiana zasad określonych w niniejszym dokumencie wymaga uchwały Zarządu HABZA.

1. Zastosowanie

Polityka retencji ma zastosowanie do wszystkich pracowników HABZA i osób współpracujących z HABZA, a także innych osób dopuszczonych do przetwarzania danych osobowych w HABZA.

1. Powiązania z innymi dokumentami.

Szczegółowe zasady dotyczące archiwizacji danych i ich utylizacji, w odniesieniu do rodzajów nośników, na których zostały one zapisane, określone są w dokumentach Polityka ochrony danych w HABZA.

1. Zasady postępowania przy ustalaniu czasu retencji danych osobowych

1. Zgodnie z wymaganiami RODO dla każdego rozpoznanego procesu przetwarzania danych osobowych (czynności przetwarzania) należy określać okres, przez który dane osobowe, przetwarzane w ramach tego procesu, będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.
2. Kryteria ustalania okresu, o których mowa w ust. 1 mogą być określane w poniższy sposób:
   1. do czasu zakończenia realizacji umowy i związanych z tym roszczeń;
   2. do czasu wycofania zgody lub zgłoszenia sprzeciwu;
   3. przez okres wymagany przez przepis prawa.
3. W ramach zgłaszania do Inspektora ochrony danych lub ADO informacji o każdym nowym procesie przetwarzania danych osobowych lub zmianie w już istniejącym – zgodnie z Polityką ochrony danych w HABZA, Kierownik komórki organizacyjnej HABZA podaje na formularzu zgłoszeniowym informacje o zakładanym czasie przetwarzania danych w danym procesie.
4. Ustalony czas ADO lub Inspektor danych osobowych konsultuje z Prawnikiem.
5. Prawnik w odniesieniu do rozpoznanych procesów przetwarzania danych osobowych w HABZA weryfikuje czasy retencji danych wynikające z przepisów prawa i przekazuje te informacje do ADO lub Inspektora ochrony danych.
6. ADO lub Inspektor ochrony danych zamieszcza informacje o ustalonych czasach retencji w:
   1. „Wykazie retencji danych osobowych w HABZA”, który stanowi załącznik nr 1 do niniejszej polityki.
   2. „Rejestrze czynności przetwarzania danych osobowych HABZA”.
7. Informacje dotyczące ustalonego czasu, przez który dane osobowe będą przechowywane, lub kryteria ustalania tego okresu należy zamieszczać w klauzulach informacyjnych podczas realizacji procesu zbierania danych osobowych, zarówno bezpośrednio od osoby, której dane dotyczą zgodnie z art. 13 RODO oraz w sytuacji zbierania danych z innych źródeł zgodnie z art. 14 RODO.
8. Kierownicy komórek organizacyjnych HABZA odpowiedzialni za proces zbierania danych osobowych, w tym tworzenie dedykowanych klauzul informacyjnych zamieszczają w nich informacje o czasie retencji zgodnie z „Wykazem retencji danych osobowych w HABZA”.
9. W przypadku zmiany celu przetwarzania danych lub zmiany kryterium ustalenia czasu retencji konieczna jest ocena celu, adekwatności i czasu przetwarzania danych w odniesieniu do nowego celu.
10. W przypadku zmiany celu przetwarzania w danym procesie Kierownik komórki organizacyjnej HABZA wypełnia formularz zgłoszenia/zmiany procesu przetwarzania danych i przekazuje go do ADO lub inspektora ochrony danych (zgodnie z Polityką ochrony danych) wraz z informacjami o zakładanym czasie przetwarzania danych.
11. Zasady postępowania przy usuwaniu danych po ustalonym czasie retencji

1. Obowiązek usunięcia danych osobowych zależy od wystąpienia określonego zdarzenia (które powiązane jest z określonym celem przetwarzania danych):
   1. od cofnięcia zgody przez osobę, której dane dotyczą – jeżeli podstawą prawną przetwarzania jest art. 6 ust. 1 lit. a) RODO – w przypadku przetwarzania danych w celach marketingowych na podstawie zgody;
   2. od wyrażenia sprzeciwu przez osobę, której dane dotyczą – jeżeli podstawą prawną przetwarzania jest art. 6 ust. 1 lit. f) RODO – przetwarzanie danych jest niezbędne w celu realizacji uzasadnionego interesu administratora (w celu prowadzenia marketingu bezpośredniego);
   3. od przedawnienia roszczeń – jeżeli dane były uprzednio przetwarzane w celu realizacji umowy;
   4. od upływu terminów wynikających z przepisów o prawa – w odniesieniu do danego procesu przetwarzania danych.
2. W sytuacji zakończenia ustalonego czasu retencji danych osobowych, w danym procesie Kierownik komórki organizacyjnej HABZA, w zależności od rodzaju nośnika, na którym dane są zapisane podejmuje działania zgodnie z przyjętymi w HABZA procedurami dotyczącymi usuwania danych z nośników elektronicznych lub brakowania dokumentacji papierowej.
3. Informatyk ustala w porozumieniu z ADO lub Inspektorem ochrony danych zasady dotyczące usuwania bądź anonimizacji danych, które są przetwarzane w systemie informatycznym.
4. ADO lub Inspektor ochrony danych okresowo monitoruje realizację wymogów dotyczących usuwania lub anonimizacji danych osobowych.
5. ADO lub Inspektor ochrony danych po zakończeniu ustalonego czasu retencji danych dla danego procesu przetwarzania danych usuwa wpis dotyczący tego procesu w rejestrze czynności przetwarzania danych.