Νομικό Πλαίσιο για τη Διατήρηση Προσωπικών Δεδομένων πρώην εργαζομένων υπό το πρίσμα του ΓΚΠΔ
Σύμφωνα με την ελληνική νομοθεσία και τον ΓΚΠΔ, τα προσωπικά δεδομένα πρώην εργαζομένων πρέπει να διατηρούνται μόνο για όσο διάστημα είναι απαραίτητο για τους σκοπούς για τους οποίους συλλέχθηκαν. Επομένως, η αόριστη διατήρηση τέτοιων δεδομένων δεν συμμορφώνεται με αυτούς τους κανονισμούς.
Σύμφωνα με το Άρθρο 5 του ΓΚΠΔ (που εφαρμόζεται στην Ελλάδα μέσω του Νόμου 4624/2019), τα προσωπικά δεδομένα πρέπει να:
- Διατηρούνται σε μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο
- Υποβάλλονται σε επεξεργασία κατά τρόπο που εξασφαλίζει την κατάλληλη ασφάλεια
- Υπόκεινται σε κατάλληλα τεχνικά και οργανωτικά μέτρα
Συγκεκριμένες Περίοδοι Διατήρησης
Σύμφωνα με διάφορους ελληνικούς νόμους υπάρχουν διάφορες περίοδοι διατήρησης για τα δεδομένα εργαζομένων ως εξής:
- Βασικά Αρχεία Απασχόλησης: Σύμφωνα με το Άρθρο 7 του Νόμου 3762/2009, οι εργοδότες πρέπει να διατηρούν αντίγραφα συμβάσεων εργασίας, κοινοποιήσεων και άλλων εγγράφων που υποχρεούνται να παρέχουν στους εργαζομένους για περίοδο δύο ετών από τη λήξη τους, είτε σε έντυπη είτε σε ηλεκτρονική μορφή.
- Δεδομένα για Νομικές Αξιώσεις: Για πιθανές νομικές αξιώσεις ή ελέγχους, τα δεδομένα πρέπει να διατηρούνται για την περίοδο εντός της οποίας μπορεί να υποβληθεί μια αξίωση (συνήθως έως 5 έτη, ανάλογα με τη φύση της αξίωσης).
- Οικονομικά και Φορολογικά Αρχεία: Για φορολογικούς και ασφαλιστικούς σκοπούς, τα σχετικά δεδομένα εργαζομένων πρέπει συνήθως να διατηρούνται για 5 έτη μετά το τέλος της απασχόλησης.
- Τέλος, τα δεδομένα υγείας δεν πρέπει να διατηρούνται εάν δεν σχετίζονται σε καμία περίπτωση με τα προαναφερθέντα σημεία.
Απαιτήσεις Διαγραφής Δεδομένων
Το νομικό πλαίσιο θεσπίζει επίσης συγκεκριμένες απαιτήσεις για τη διαγραφή δεδομένων:
- Υποχρεωτική Διαγραφή: Σύμφωνα με το Άρθρο 73 του Νόμου 4624/2019 (όπως τροποποιήθηκε από το Άρθρο 43 του Νόμου 5002/2022), ο υπεύθυνος επεξεργασίας πρέπει να διαγράφει τα προσωπικά δεδομένα χωρίς καθυστέρηση εάν η επεξεργασία είναι παράνομη, εάν πρέπει να διαγραφούν για την εκπλήρωση νομικής υποχρέωσης, ή εάν η γνώση τους δεν είναι πλέον απαραίτητη για την εκπλήρωση των σκοπών της επεξεργασίας.
- Περιοδική Αναθεώρηση: Ο νόμος μπορεί να προβλέπει περιοδική αναθεώρηση της περιόδου αποθήκευσης από τον υπεύθυνο επεξεργασίας, συμπεριλαμβανομένων των περιόδων και των κριτηρίων αναθεώρησης. Αυτή η αναθεώρηση θα πρέπει να βασίζεται στην αρχή του περιορισμού της αποθήκευσης για όσο διάστημα είναι απαραίτητο για την επίτευξη του σκοπού της επεξεργασίας.
- Ασφαλής Καταστροφή: Όπως ορίζεται στο Άρθρο 7 του Προεδρικού Διατάγματος 40/2025, οι οργανισμοί πρέπει να διασφαλίζουν ότι τα δεδομένα καταστρέφονται με τρόπο που εξασφαλίζει ότι δεν μπορούν να ανακτηθούν.
Προτεινόμενες Πολιτικές για Συμμόρφωση
Για να διασφαλιστεί η συμμόρφωση με την ελληνική νομοθεσία και τον ΓΚΠΔ, οι οργανισμοί θα πρέπει να εφαρμόσουν τις ακόλουθες πολιτικές:
- Πολιτική Διατήρησης Δεδομένων: Καθιέρωση σαφούς πολιτικής που καθορίζει συγκεκριμένες περιόδους διατήρησης για διαφορετικές κατηγορίες δεδομένων εργαζομένων με βάση τις νομικές απαιτήσεις και τις νόμιμες επιχειρηματικές ανάγκες.
- Διαδικασία Τακτικής Αναθεώρησης: Εφαρμογή διαδικασίας περιοδικής αναθεώρησης για να αξιολογείται εάν η συνεχιζόμενη διατήρηση προσωπικών δεδομένων είναι απαραίτητη, με τη συμμετοχή του Υπεύθυνου Προστασίας Δεδομένων σε αυτή τη διαδικασία αναθεώρησης.
- Διαδικασίες Ασφαλούς Διαγραφής: Ανάπτυξη διαδικασιών για την ασφαλή διαγραφή ή ανωνυμοποίηση των δεδομένων μετά τη λήξη της περιόδου διατήρησης, διασφαλίζοντας ότι τα δεδομένα δεν μπορούν να ανακτηθούν.
- Τεκμηρίωση: Διατήρηση τεκμηρίωσης των περιόδων διατήρησης και των διαδικασιών διαγραφής ως μέρος των αρχείων των δραστηριοτήτων επεξεργασίας.
- Τεχνικά Μέτρα: Εφαρμογή κατάλληλων τεχνικών μέτρων για να διασφαλιστεί ότι τα δεδομένα επισημαίνονται αυτόματα για αναθεώρηση ή διαγραφή μετά τη σχετική περίοδο διατήρησης.
- Διαδικασία Νομικής Αναστολής: Καθιέρωση διαδικασίας για την αναστολή της διαγραφής εάν υπάρχει ενεργός έλεγχος, νομική αξίωση ή άλλο εκκρεμές νομικό ζήτημα σχετικό με τα δεδομένα.
Συμπέρασμα
Η αόριστη διατήρηση προσωπικών δεδομένων πρώην εργαζομένων δεν συμμορφώνεται με την ελληνική νομοθεσία και τον ΓΚΠΔ. Οι οργανισμοί πρέπει να καθιερώσουν σαφείς περιόδους διατήρησης με βάση τις νομικές απαιτήσεις και τις νόμιμες επιχειρηματικές ανάγκες, και να εφαρμόσουν διαδικασίες για την ασφαλή διαγραφή των δεδομένων μετά τη λήξη αυτών των περιόδων.