Obowiązek zachowania poufności danych osobowych to jeden z fundamentów ochrony prywatności w firmach i instytucjach. Wielu administratorów danych oraz ich pracowników zadaje sobie pytanie: czy zobowiązanie to wygasa wraz z końcem realizacji umowy lub upoważnienia, czy obowiązuje bezterminowo? W praktyce odpowiedź jest kluczowa, zwłaszcza w kontekście odpowiedzialności prawnej i bezpieczeństwa danych.
Zasada podstawowa – poufność nie ma „daty ważności”
Zgodnie z przepisami o ochronie danych osobowych, w tym art. 5 ust. 1 lit. f oraz art. 29 RODO, a także art. 24 ustawy z 10 maja 2018 r. o ochronie danych osobowych, zobowiązanie do poufności nie jest ograniczone w czasie.
Oznacza to, że nawet po zakończeniu pracy w danej organizacji czy wygaśnięciu upoważnienia, osoba, która miała dostęp do danych, wciąż musi je chronić.
🔹 Dlaczego?
Dane osobowe – zarówno zwykłe, jak i szczególnej kategorii – nadal podlegają ochronie przewidzianej w przepisach. Fakt, że ktoś już ich nie przetwarza, nie zmienia obowiązku zachowania ich w tajemnicy.
Dane zwykłe a dane szczególnej kategorii – czy są różnice w czasie poufności?
W przypadku danych zwykłych (np. imię, nazwisko, adres e-mail) oraz danych szczególnej kategorii (np. informacje o stanie zdrowia, poglądach politycznych czy pochodzeniu rasowym) obowiązuje ta sama reguła:
✔ Poufność obowiązuje bezterminowo – niezależnie od rodzaju danych.
Nie istnieje przepis, który wprowadzałby krótszy okres poufności dla danych zwykłych.
Retencja danych a obowiązek poufności
Teoretycznie można by przyjąć, że zobowiązanie do poufności wygasa po upływie czasu retencji danych (okresu ich przechowywania). Jednak w praktyce byłoby to rozwiązanie ryzykowne, ponieważ:
- Czas przechowywania może się wydłużyć, np. z powodu reklamacji, dochodzenia roszczeń lub postępowania organów państwowych.
- Dane mogą być archiwizowane na potrzeby historyczne lub dowodowe.
- W przypadku szczególnej kategorii danych nawet najmniejszy wyciek po latach może mieć poważne skutki prawne i wizerunkowe.
Dlatego najbezpieczniej jest w umowach i procedurach przyjmować bezterminowy obowiązek poufności.
Przykłady z praktyki
Przykład 1 – firma IT
Spółka „NetSoft” zakończyła projekt tworzenia aplikacji dla klienta, w ramach którego programiści mieli dostęp do danych pracowników zamawiającego. Nawet 3 lata po zakończeniu projektu byli pracownicy NetSoft, zgodnie z podpisanym zobowiązaniem, nadal muszą zachować poufność tych danych. Gdyby jeden z nich ujawnił dane kontaktowe pracowników klienta – odpowiadałby prawnie, mimo że umowa już dawno wygasła.
Przykład 2 – przychodnia medyczna
Lekarka w przychodni „MediPlus” zakończyła współpracę i przeszła do innej placówki. Choć nie ma już dostępu do kart pacjentów, nadal obowiązuje ją bezterminowa tajemnica dotycząca informacji o stanie zdrowia byłych pacjentów. Naruszenie poufności mogłoby skutkować odpowiedzialnością karną z art. 107 ustawy o ochronie danych osobowych oraz odpowiedzialnością cywilną.
Podsumowanie – kluczowe wnioski
- 📌 Brak terminu wygaśnięcia – zobowiązanie do poufności obowiązuje także po zakończeniu współpracy.
- 📌 Rodzaj danych (zwykłe czy szczególnej kategorii) nie wpływa na czas trwania obowiązku.
- 📌 Nie należy wiązać końca poufności z czasem retencji danych – jest to rozwiązanie zbyt ryzykowne.
- 📌 Najlepiej wprowadzać w umowach zapis o bezterminowym obowiązku poufności.
Podstawa prawna
- art. 5 ust. 1 lit. f, art. 29 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
- art. 24, art. 107 – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Tematy porad zawartych w poradniku
- czas trwania poufności danych osobowych
- obowiązek zachowania tajemnicy RODO
- poufność po zakończeniu współpracy
Przydatne linki urzędowe