Retencja danych a prawo

Retencja danych to zasady i praktyki dotyczące przechowywania i usuwania danych przez organizacje, firmy oraz instytucje państwowe. Prawo reguluje i określa, jak długo i w jakim celu można przechowywać określone dane, a także jakie obowiązki mają podmioty przetwarzające informacje.

Kluczowe aspekty prawne retencji danych

1) Retencja danych osobowych (RODO/GDPR)

Unia Europejska (RODO – GDPR):

Zasada ograniczenia przechowywania – dane osobowe nie mogą być przechowywane dłużej, niż jest to niezbędne do celów, dla których zostały zebrane.
Użytkownicy mają prawo do żądania usunięcia danych („prawo do bycia zapomnianym”).
Firmy muszą określać okresy przechowywania danych i informować o nich użytkowników.

2) Retencja danych telekomunikacyjnych i internetowych

W UE (Dyrektywa o retencji danych – uchylona w 2014 r.)

Wymagała od operatorów telekomunikacyjnych przechowywania metadanych (np. historia połączeń, IP) przez 6-24 miesiące dla celów ścigania przestępstw. Została uchylona przez Trybunał Sprawiedliwości UE z powodu naruszenia prywatności

Polska (Prawo telekomunikacyjne, ustawa o policji)

Operatorzy muszą przechowywać dane o połączeniach (metadane) przez 12 miesięcy i udostępniać je służbom na żądanie. Istnieją kontrowersje dotyczące nadmiernej inwigilacji obywateli.

3) Retencja w sektorze finansowym i biznesowym

Banki i instytucje finansowe muszą przechowywać dokumentację klientów i transakcji przez określony czas (np. 5-10 lat zgodnie z przepisami o przeciwdziałaniu praniu pieniędzy – AML).
Pracodawcy muszą przechowywać dokumenty pracownicze (np. umowy, listy płac) przez 50 lat (dla umów sprzed 2019) lub 10 lat (dla nowych umów).

4) Retencja danych w chmurze i big data

Przepisy wymagają, aby dane przechowywane w chmurze były odpowiednio chronione i nie przechowywane dłużej, niż to konieczne. Firmy muszą określać politykę retencji danych, czyli zasady ich przechowywania i usuwania.