Czy prowadzenie archiwum elektronicznego jest bezpieczne i zgodne z RODO?

Wejście w życie Rozporządzenia o ochronie danych osobowych zrewolucjonizowało podejście do bezpiecznego przechowywania dokumentów. Zbiegło się ono w czasie z przejściem z archiwów papierowych na archiwa elektroniczne, co skutkowało wątpliwościami w zakresie prowadzenia tych drugich. Czy RODO zezwala na takie rozwiązanie?

Czego dotyczy RODO?

Na początek wyjaśnijmy, czym jest i czego dotyczy RODO. Rozporządzenie o ochronie danych osobowych weszło w życie w 2018 roku i od tamtego czasu budzi wiele wątpliwości wśród administratorów danych. Wcześniej w Polsce obowiązywały przepisy o ochronie danych osobowych, jednak nie były one tak precyzyjne, a ich nieprzestrzeganie nie wiązało się z tak srogimi karami. Warto pamiętać, że RODO dotyczy dokumentów zawierających dane osobowe, a nie na przykład dokumentacji finansowej. W rozporządzeniu znajdziemy zapisy dotyczące:

• procedowania,
• archiwizowania,
• niszczenia,

dokumentów. RODO jest tak obszernym aktem prawnym, że pomimo stosunkowo długiego okresu obowiązywania, wciąż pojawiają się nowe pytania. Jedno z nich dotyczy zgodność prowadzenia archiwum elektronicznego z zapisami wynikającymi z rozporządzenia.

Archiwum dokumentów elektronicznych a RODO

RODO w żaden sposób nie neguje rozwiązania, jakim jest archiwizacja danych elektronicznych. Z drugiej strony, aby cała procedura odbyła się zgodnie z rozporządzeniem, musi składać się z 6 etapów:

• kwalifikacja akt i ustalenie maksymalnego czasu przechowywania,
• porządkowanie zebranych akt według własnego klucza,
• oznaczenie akt,
• przeprowadzenie procesu archiwizacji,
• niszczenie akt,
• sporządzenie informacji dotyczącej zniszczenia.

W praktyce te wszystkie zadania wykonywaliśmy także wcześniej, o ile oczywiście archiwizacja opierała się na jasnych procedurach i wytycznych. Warto jednak podkreślić, że RODO zakłada uproszczenie archiwizacji do minimum. Oznacza to, że przechowujemy tylko niezbędne dokumenty i tylko przez czas określony w innych przepisach. Trudno jednak spłycić problem archiwów, także elektronicznych, wyłącznie na potrzeby RODO. Niektóre dokumenty muszą być przechowywane dłużej, jeśli jest to w interesie firmy i w jakiś sposób zabezpiecza jej pozycję.

Archiwum elektroniczne akt osobowych

W kontekście RODO najczęściej rozpatrujemy akta osobowe, które są pełne informacji o konkretnym pracowniku. Zgodnie z obowiązującymi przepisami, od 2019 roku pracodawcy mają możliwość przechowywania teczek pracowniczych wyłącznie w formie elektronicznej. Choć w polskim prawie zdarzają się tzw. kolizje, to RODO nie stoi w sprzeczności z rozporządzeniem, które umożliwia zastąpienie teczek papierowych elektronicznymi. Niemniej jednak warto pamiętać, że archiwum elektroniczne:

• gromadzi wyłącznie dane niezbędne, wynikające bezpośrednio z innych przepisów,
• musi zostać zabezpieczone przed dostępem osób trzecich,
• musi zostać zabezpieczone na wypadek ataków hakerskich,
• powinno być regularnie rewidowane, a dane przedawnione powinny ulec utylizacji.

Elektroniczne archiwum dokumentów osobowych nie może więc zawierać danych, których przechowywanie nie jest obligatoryjne, takie jak na przykład imiona i nazwiska rodziców. W teczkach papierowych tworzonych przed laty tego typu zapisy były obecne, dziś już natomiast nie mają racji bytu.

Po jakim czasie można zniszczyć dane z archiwum elektronicznego?

Bezpieczne archiwum elektroniczne przechowuje dane jak najkrócej. Na tym tle pojawiają się pewne rozbieżności, ponieważ RODO nakazuje zniszczyć dokumentację pracowniczą bez zbędnej zwłoki, natomiast inne przepisy wykazują większą tolerancję w tym zakresie. Akta pracownicze niszczymy w okresie 12 miesięcy od dnia, w którym upływa termin ich odbioru przez pracownika lub inną osobę uprawnioną. Z perspektywy RODO 12 miesięcy to jednak zdecydowanie za długi czas. Dlatego, chcąc zharmonizować przepisy, elektroniczne archiwum dokumentów powinniśmy zniszczyć w jak najkrótszym czasie, gdy tylko będzie to możliwe.

Elektroniczne archiwum dokumentów – przechowywanie i utylizacja danych

Zgodnie z powyższym, RODO nie zabrania przechowywania dokumentów w formie elektronicznej. Z drugiej strony, jeśli jesteś na etapie tworzenia e-archiwum, musisz pamiętać o kilku kwestiach. RODO wymaga zabezpieczenia dokumentów na każdym etapie procedowania. Ponadto, tworząc e-teczki pracowników, konieczna będzie weryfikacja ich zawartości. RODO nie ma zastosowania do tych, które zostały zarchiwizowane przed wejściem przepisów w życie, ale już zmiana formy archiwum obliguje do stosowania nowych zasad. Ważnym elementem jest też utylizacja danych. RODO daje prawo do bycia zapomnianym, zatem wymusza usunięcie danych osobowych z bazy pracodawcy. Należy to zrobić tak, aby odtworzenie informacji nie było możliwe. Pracodawcy mogą skorzystać z pomocy wyspecjalizowanej firmy, która zajmuje się archiwizacją i utylizacją dokumentów. Archiwum elektroniczne to wygodne rozwiązanie, ale musi być wdrożone zgodnie z obowiązującymi, zapewniającymi bezpieczeństwo normami.