Jednym z najczęstszych pytań jakie pojawiają się podczas spotkań z Administratorami Danych Osobowych to sposób zbierania, przetwarzania i przechowywania danych pozyskanych podczas zawarcia umowy z osobami fizycznymi. Jak dane można zbierać, a przetwarzania jakich należy unikać? Czy ma znaczenie to na jakim etapie zbierane są poszczególne dane? Oczywiście, że tak! Wbrew temu co krąży w sieci nie jest to wcale takie trudne. Wystarczy trzymać się jednej, prostej zasady.
Przetwarzanie danych w ramach umowy można podzielić na trzy etapy. Pierwszy – to wybranie odpowiedniej osoby, z którą zamierzamy uregulować konkretną kwestię np. podjęcie współpracy, sprzedaż, udzielenie pożyczki, dzierżawę itp. Drugi etap – przetwarzanie danych podczas trwania umowy i trzeci etap – to przetwarzanie danych po zakończeniu obowiązywania umowy. W tajemnicy zdradzę, że jeżeli przy pierwszym etapie odpowiednio podejdziemy do tematu, kolejne będą tylko czystą formalnością.
Do pierwszego etapu zaliczamy czynności takie jak np. zbieranie wniosków o udzielanie pożyczki, zbieranie danych w procesie rekrutacji, czy wybieranie osoby, która będzie wykonywała dla nas konkretną usługę. Przy każdej z tych sytuacji należy rozważyć to, jakie dane będą nam niezbędne. I tak podstawowymi i niezbędnymi informacjami będą dane identyfikujące osobę fizyczną. W polskim porządku prawnym jest to najczęściej imię, nazwisko, adres zamieszkania oraz coś, co generuje najwięcej problemów – nr PESEL, ale zdarza się też, że jest to numer i seria dowodu osobistego. Dlaczego pojawiają się problemy? Ponieważ nigdy nie wiadomo co lepsze: PESEL czy dowód osobisty? Natomiast zasada jest prosta – wybieramy takie dane, dzięki którym będziemy w stanie zidentyfikować osobę, skontaktować się z nią, a w przypadku dochodzenia roszczeń mieć możliwość pociągnięcia jej do odpowiedzialności. I dzięki nr PESEL i nr dowodu osobistego będziemy w stanie to zrobić jednak nigdy się nie zaleca, aby te dwie dane znajdowały się na umowie. Z punktu widzenia ochrony danych osobowych będzie to nadmiarowe. Oczywiście jeżeli przepisy szczególne stanowią o tym, jakie dane należy pobrać od osoby fizycznej, należy stosować przepisy. Opisywana sytuacja odnosi się do sytuacji, gdy nie mamy tego określonego w przepisach.
Kwestią wartą uwagi są wnioski, które poprzedzają zawarcie umowy. Należy mieć na uwadze, że każdy wniosek możemy rozpatrzyć pozytywnie lub negatywnie. W przypadku negatywnego rozpatrzenia wniosku, na którym znajdują się szczegółowe dane np. nr PESEL poręczycieli rodzi się problem co do zasadności przetwarzania tych danych na etapie wniosku. Dlatego też najbezpieczniej będzie, jeżeli podczas składania wniosku wymagane będzie wskazanie danych osób z imienia i nazwiska, a podczas podpisywania umowy (poręczyciele również muszą złożyć swój podpis) pobrać niezbędne dane.
Podczas trwania umowy wskazanym jest, aby weryfikować, czy dane są aktualne – co wynika między innymi z zasad przetwarzania danych określonych w RODO, ale również jest istotne z w przypadku właściwego wykonania umowy – wypłacania wynagrodzenia, przesyłania korespondencji. Warto, szczególnie w przypadku umów, które zawarte zostały na dłuższy okres, okresowo weryfikować te informacje.
W przypadku zakończenia trwania umowy, dane przechowuje się tak długo jak określają to przepisy szczególne lub tak długo jak to wynika z roszczeń. Przepisy szczególne w każdej jednostce mogą być różne, choć w wielu dziedzinach takie same – chociażby Kodeks Pracy i przechowywanie akt pracowników zatrudnionych po 1 stycznia 2019 r. przez 10 lat, a pracowników zatrudnionych przed 1 stycznia 2019 r. – 50 lat.
Zatem warto pamiętać o zasadzie, aby nie pobierać wszystkich danych o osobie jakie wpadną nam w ręce a tylko takie, które pozwolą nam na bezproblemowe skontaktowanie się z taką osobą czy dochodzenie roszczeń przed sądem.
Autor: Monika Jędro– Kierownik Projektu w CompNet Sp. z o.o.