De praktische gids voor bewaartermijnen van persoonsgegevens

Een belangrijk principe waarmee ondernemingen rekening moeten houden bij de verwerking van persoonsgegevens is opslagbeperking. Dat verplicht je om de “levenscyclus” van persoonsgegevens (“data lifecycle”) te organiseren en meer concreet om maximale bewaartermijnen voor die persoonsgegevens vast te leggen en op te volgen.

Het is niet makkelijk om te bepalen hoe lang je persoonsgegevens nu precies mag bewaren en veel ondernemingen worstelen hiermee. Hoe lang mag je welke persoonsgegevens bewaren? Hoe lang is het “noodzakelijk” om persoonsgegevens te bewaren? Waarmee moet je rekening houden bij de bepaling van bewaartermijnen? Kan je die bewaartermijnen altijd vrij bepalen?

In dit artikel proberen we op die vragen een antwoord te geven op basis van een praktische gids van de Franse toezichthoudende autoriteit (de Commission Nationale de l’Informatique et des Libertés, afgekort CNIL).

Bewaartermijn_persoonsgegevens

De data lifecycle, wat is dat?

Zo goed als iedere onderneming verwerkt persoonsgegevens. Gegevens worden verzameld, geordend en bewaard, bijgewerkt en verder gebruikt, eventueel doorgezonden en uiteindelijk gewist. Het geheel van verwerkingen die de persoonsgegevens ondergaan vormt de levenscyclus van persoonsgegevens

In haar praktische gids deelt de CNIL die levenscyclus in in drie volgende fasen:

  • Het lopende gebruik (“actieve basis”) van persoonsgegevens: deze fase betreft het huidige gebruik van persoonsgegevens door de verschillende departementen binnen de onderneming die verantwoordelijk zijn voor de verwerking ervan. Concreet betekent dit de verzameling van persoonsgegevens en het dagelijkse gebruik ervan binnen de onderneming. De persoonsgegevens zijn toegankelijk in de onmiddellijke werkomgeving voor de verschillende stakeholders die verder aan de slag moeten met de persoonsgegevens.
  • De tussentijdse archivering van persoonsgegevens: de persoonsgegevens worden niet meer actief gebruikt om de vastgelegde doeleinden te bereiken (“afgesloten dossiers”), maar zijn wel nog van belang voor de onderneming omdat ze later nog nuttig kunnen zijn, bijvoorbeeld in het kader van eventuele toekomstige geschillen of om te voldoen aan een wettelijke verplichting. De persoonsgegevens kunnen later dan op een ad hoc en gemotiveerde manier geraadpleegd worden door specifiek daartoe bevoegde personen.
  • De definitieve archivering van persoonsgegevens: dit heeft betrekking op persoonsgegevens die zonder tijdslimiet worden gearchiveerd. Het gaat om verwerkingen die worden uitgevoerd met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. De CNIL merkt op dat deze laatste fase voornamelijk relevant is voor de publieke sector. 

De CNIL benadrukt hierbij het basisprincipe uit artikel 5 GDPR dat persoonsgegevens definitief gewist moeten worden bij het einde van de voorgenomen verwerking. Met andere woorden wanneer het doel waarvoor je gegevens gebruikte bereikt is.

Dat betekent overigens niet dat gegevens systematisch en in alle gevallen overal en helemaal moeten worden gewist. Persoonsgegevens kunnen worden gebruikt voor verschillende opeenvolgende toepassingen (en dus doeleinden) en per toepassing en doeleinde kan een andere bewaartermijn gelden.

Het is bijvoorbeeld in bepaalde gevallen mogelijk om persoonsgegevens tijdelijk te archiveren of te anonimiseren. Definitieve anonimisering staat wat dat betreft op dezelfde voet als verwijdering, aangezien geanonimiseerde gegevens geen persoonsgegevens meer zijn.

Hoe bepaal je dan gepaste bewaartermijnen?

GDPR bepaalt niet hoe lang je persoonsgegevens precies mag bewaren. De wet voorziet met andere woorden geen lijst met vooraf bepaalde termijnen.

De CNIL geeft nu wel enkele handige richtlijnen mee:

  • Soms bepaalt de wet hoe lang je gegevens mag of moet bewaren (denk bijvoorbeeld maar aan het bewaren van bepaalde boekhoudkundige stukken).
  • Er zijn ook sectorspecifieke richtlijnen van sommige toezichthoudende autoriteiten zoals de CNIL zelf (zie bvb haar “referentiekaders”, zoals referentie RS-001 “het beheer van de gezondheidsbewaking”).
  • In sommige gevallen vind je ook referenties binnen de sector, bijvoorbeeld in sectorcodes.

De CNIL biedt een evaluatieschema aan om ondernemingen te helpen bij het bepalen van de bewaartermijnen. Dat schema kan je hier vinden.

Enkele concrete voorbeelden

Hoe lang kan ik (persoonsgegevens in) de facturen uit mijn boekhouding bewaren? 

Elke onderneming heeft de verplichting om haar boekhoudkundige stukken gedurende 7 jaar, te rekenen van de eerste dag van het jaar dat op de afsluiting van het boekjaar volgt, te bewaren (KB van 21 oktober 2018).

Bij documenten die te maken hebben met bouw en verbouwing – dus ook de facturen en contracten voor (verkoop van) onroerende goederen, aannemers en architecten – geldt er zelfs een bewaartermijn van 10 jaar.

Dat impliceert dat de bewaartermijn voor persoonsgegevens uit boekhoudkundige stukken kan worden vastgelegd op minstens 7 jaar, in sommige gevallen zelfs 10 jaar.

Hoe lang moet/mag ik (persoonsgegevens in) een CV of een arbeidsovereenkomst bewaren? 

Voor een heel aantal sociale documenten geldt er een verplichte bewaringstermijn van 5 jaar (KB van 8 augustus 1980). De verantwoording voor de bewaring van de persoonsgegevens in die documenten moet je dan ook niet ver gaan zoeken.

Verder is natuurlijk het doeleinde van de verwerking van de concrete persoonsgegevens van belang.  

De Nederlandse toezichthoudende autoriteit, de Autoriteit Persoonsgegevens, stelt dat het gebruikelijk is dat een organisatie sollicitatiegegevens verwijdert uiterlijk 4 weken na het einde van de sollicitatieprocedure. Wel kan de kandidaat toestemming geven om de persoonsgegevens langer te bewaren, bijvoorbeeld omdat er mogelijk op een later tijdstip een passende functie voor de kandidaat komt. Een termijn van maximaal 1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk volgens de Autoriteit Persoonsgegevens.

Voor persoonsgegevens in een arbeidsovereenkomst is het logisch dat de gegevens worden bewaard gedurende de periode van de uitvoering van de arbeidsovereenkomst. Het bewaren van die gegevens na de beëindiging van de arbeidsovereenkomst kan perfect op basis van bovenvermelde verplichte bewaartermijn voor een aantal sociale documenten, naargelang het concrete geval.

Hoe lang mag ik contactgegevens van een klant bijhouden? 

Ook hier is het doeleinde van de verwerking van de concrete persoonsgegevens natuurlijk van belang.  

Bij gegevens die nodig zijn om een lopende overeenkomst uit te voeren stellen zich weinig vragen. Zolang de overeenkomst loopt (of concreter: zolang bepaalde verbintenissen uit de overeenkomst doorlopen – denk aan bijvoorbeeld garantiebepalingen) kunnen persoonsgegevens bewaard worden.

Als diezelfde persoonsgegevens ook bewaard en verder gebruikt worden voor een ander doeleinde (naast de uitvoering van een overeenkomst), zoals bijvoorbeeld voor direct marketingdoeleinden, dan kan je de gegevens natuurlijk na de beëindiging van de overeenkomst nog een bepaalde periode bewaren. 

Tot slot kan je in dit artikel “Bewaartermijnen onder GDPR: Interessante beslissing van de Oostenrijkse GBA” nog een interessant voorbeeld vinden. 

Wat als de persoonsgegevens ook nog worden verwerkt door de partners (leveranciers, onderaannemers, etc.) van jouw onderneming?

Persoonsgegevens die je als verwerkingsverantwoordelijke doorgaf aan een verwerker, blijven jouw verantwoordelijkheid. Jij moet er dus op toezien dat de persoonsgegevens correct bewaard en uiteindelijk gewist worden door je partner (de verwerker).

De verplichtingen van de verwerker moeten worden opgenomen in een verwerkersovereenkomst en de verwerker moet duidelijke instructies ontvangen, onder meer over het bewaren van de persoonsgegevens conform de vastgelegde bewaartermijnen. 

Nuttige tips over het gebruik van verwerkersovereenkomsten kan je vinden in ons artikel “verwerkersovereenkomsten met je webbouwer of hosting provider”

Neem je graag zelf verder concrete stappen naar GDPR compliance?

Bekijk dan zeker onze GDPR toolkit, die je hier kan vinden.

Vragen over GDPR en databescherming in België of Europa, of meer concreet over bewaartermijnen van persoonsgegevens?

Contacteer ons vrijblijvend via bart@siriuslegal.be of michiel@siriuslegal.be.