Polityka retencji danych

  1. Wst─Öp
  2. Cel

Polityka retencji danych okre┼Ťla zasady post─Öpowania dotycz─ůce ustalania czasu przetwarzania danych osobowych zbieranych w HABZA Group Sp. z o.o. (dalej HABZA)w celach realizacji istniej─ůcych proces├│w biznesowych.

Polityka ma zapewni─ç realizacj─Ö wymog├│w rozporz─ůdzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os├│b fizycznych w zwi─ůzku z przetwarzaniem danych osobowych i w sprawie swobodnego przep┼éywu takich danych oraz uchylenia dyrektywy 95/46/WE (og├│lne rozporz─ůdzenie o ochronie danych; dalej ÔÇ×RODOÔÇŁ) w odniesieniu do zasady ograniczonego przetwarzania danych osobowych, o kt├│rej mowa w art.┬á5 ust. 1 lit. d RODO. Zgodnie z wymaganiami dane osobowe musz─ů by─ç ┬áprzechowywane w┬áformie umo┼╝liwiaj─ůcej identyfikacj─Ö osoby, kt├│rej dane dotycz─ů, przez okres nie d┼éu┼╝szy, ni┼╝ jest to niezb─Ödne do cel├│w, w┬ákt├│rych dane te s─ů przetwarzane.

  1. Aktualizacja dokumentu.

Niniejszy dokument podlega corocznym przegl─ůdom dokonywanym przez pracownik├│w HABZA i jest uaktualniany, je┼Ťli to stosowne. Zmiana zasad okre┼Ťlonych w niniejszym dokumencie wymaga uchwa┼éy Zarz─ůdu HABZA.

  1. Zastosowanie

Polityka retencji ma zastosowanie do wszystkich pracownik├│w HABZA i os├│b wsp├│┼épracuj─ůcych z HABZA, a tak┼╝e innych os├│b dopuszczonych do przetwarzania danych osobowych w HABZA.

  1. Powi─ůzania z innymi dokumentami.

Szczeg├│┼éowe zasady dotycz─ůce archiwizacji danych i ich utylizacji, w odniesieniu do rodzaj├│w no┼Ťnik├│w, na kt├│rych zosta┼éy one zapisane, okre┼Ťlone s─ů w dokumentach Polityka ochrony danych w HABZA.

  1. Zasady post─Öpowania przy ustalaniu czasu retencji danych osobowych
  1. Zgodnie z wymaganiami RODO dla ka┼╝dego rozpoznanego procesu przetwarzania danych osobowych (czynno┼Ťci przetwarzania) nale┼╝y okre┼Ťla─ç okres, przez kt├│ry dane osobowe, przetwarzane w ramach tego procesu, b─Öd─ů przechowywane, a┬ágdy nie jest to mo┼╝liwe, kryteria ustalania tego okresu.
  2. Kryteria ustalania okresu, o kt├│rych mowa w ust. 1 mog─ů by─ç okre┼Ťlane w poni┼╝szy spos├│b:
    1. do czasu zako┼äczenia realizacji umowy i zwi─ůzanych z tym roszcze┼ä;
    2. do czasu wycofania zgody lub zg┼éoszenia sprzeciwu;
    3. przez okres wymagany przez przepis prawa.
  3. W ramach zg┼éaszania do Inspektora ochrony danych lub ADO informacji o ka┼╝dym nowym procesie przetwarzania danych osobowych lub zmianie w ju┼╝ istniej─ůcym ÔÇô zgodnie z Polityk─ů ochrony danych w HABZA, Kierownik kom├│rki organizacyjnej HABZA podaje na formularzu zg┼éoszeniowym informacje o zak┼éadanym czasie przetwarzania danych w danym procesie.
  4. Ustalony czas ADO lub Inspektor danych osobowych konsultuje z Prawnikiem.
  5. Prawnik w odniesieniu do rozpoznanych proces├│w przetwarzania danych osobowych w HABZA weryfikuje czasy retencji danych wynikaj─ůce z przepis├│w prawa i przekazuje te informacje do ADO lub Inspektora ochrony danych.
  6. ADO lub Inspektor ochrony danych zamieszcza informacje o ustalonych czasach retencji w:
    1. ÔÇ×Wykazie retencji danych osobowych w HABZAÔÇŁ, kt├│ry stanowi za┼é─ůcznik nr 1 do niniejszej polityki.
    2. ÔÇ×Rejestrze czynno┼Ťci przetwarzania danych osobowych HABZAÔÇŁ.
  7. Informacje dotycz─ůce ustalonego czasu, przez kt├│ry dane osobowe b─Öd─ů przechowywane, lub kryteria ustalania tego okresu nale┼╝y zamieszcza─ç w klauzulach informacyjnych podczas realizacji procesu zbierania danych osobowych, zar├│wno bezpo┼Ťrednio od osoby, kt├│rej dane dotycz─ů zgodnie z art. 13 RODO oraz w sytuacji zbierania danych z innych ┼║r├│de┼é zgodnie z art. 14 RODO.
  8. Kierownicy kom├│rek organizacyjnych HABZA odpowiedzialni za proces zbierania danych osobowych, w tym tworzenie dedykowanych klauzul informacyjnych zamieszczaj─ů w nich informacje o czasie retencji zgodnie z ÔÇ×Wykazem retencji danych osobowych w HABZAÔÇŁ.
  9. W przypadku zmiany celu przetwarzania danych lub zmiany kryterium ustalenia czasu retencji konieczna jest ocena celu, adekwatno┼Ťci i czasu przetwarzania danych w odniesieniu do nowego celu.
  10. W przypadku zmiany celu przetwarzania w danym procesie Kierownik kom├│rki organizacyjnej HABZA wype┼énia formularz zg┼éoszenia/zmiany procesu przetwarzania danych i przekazuje go do ADO lub inspektora ochrony danych (zgodnie z Polityk─ů ochrony danych) wraz z informacjami o zak┼éadanym czasie przetwarzania danych.
  11. Zasady post─Öpowania przy usuwaniu danych po ustalonym czasie retencji
  1. Obowi─ůzek usuni─Öcia danych osobowych zale┼╝y od wyst─ůpienia okre┼Ťlonego zdarzenia (kt├│re powi─ůzane jest z okre┼Ťlonym celem przetwarzania danych):
    1. od cofni─Öcia zgody przez osob─Ö, kt├│rej dane dotycz─ů ÔÇô je┼╝eli podstaw─ů prawn─ů przetwarzania jest art. 6 ust. 1 lit. a) RODO ÔÇô w przypadku przetwarzania danych w celach marketingowych na podstawie zgody;
    2. od wyra┼╝enia sprzeciwu przez osob─Ö, kt├│rej dane dotycz─ů ÔÇô je┼╝eli podstaw─ů prawn─ů przetwarzania jest art. 6 ust. 1 lit. f) RODO ÔÇô przetwarzanie danych jest niezb─Ödne w celu realizacji uzasadnionego interesu administratora (w celu prowadzenia marketingu bezpo┼Ťredniego);
    3. od przedawnienia roszcze┼ä ÔÇô je┼╝eli dane by┼éy uprzednio przetwarzane w celu realizacji umowy;
    4. od up┼éywu termin├│w wynikaj─ůcych z przepis├│w o prawa ÔÇô w odniesieniu do danego procesu przetwarzania danych.
  2. W sytuacji zako┼äczenia ustalonego czasu retencji danych osobowych, w danym procesie Kierownik kom├│rki organizacyjnej HABZA, w zale┼╝no┼Ťci od rodzaju no┼Ťnika, na kt├│rym dane s─ů zapisane podejmuje dzia┼éania zgodnie z przyj─Ötymi w HABZA procedurami dotycz─ůcymi usuwania danych z no┼Ťnik├│w elektronicznych lub brakowania dokumentacji papierowej.
  3. Informatyk ustala w porozumieniu z ADO lub Inspektorem ochrony danych zasady dotycz─ůce usuwania b─ůd┼║ anonimizacji danych, kt├│re s─ů przetwarzane w systemie informatycznym.
  4. ADO lub Inspektor ochrony danych okresowo monitoruje realizacj─Ö wymog├│w dotycz─ůcych usuwania lub anonimizacji danych osobowych.
  5. ADO lub Inspektor ochrony danych po zako┼äczeniu ustalonego czasu retencji danych dla danego procesu przetwarzania danych usuwa wpis dotycz─ůcy tego procesu w rejestrze czynno┼Ťci przetwarzania danych.