Jednym z najczęściej zadawanych pytań przez administratorów danych jest: jak długo można przechowywać dane osobowe? Odpowiedź nie jest jednoznaczna — RODO nie wskazuje jednego uniwersalnego okresu retencji. Zamiast tego nakłada obowiązek, żeby dane były przechowywane wyłącznie tak długo, jak jest to niezbędne do realizacji celu, dla którego zostały zebrane.
W praktyce oznacza to, że administrator musi dla każdej kategorii danych i każdego celu przetwarzania samodzielnie określić okres retencji — i być w stanie uzasadnić tę decyzję. Dane przechowywane „na wszelki wypadek”, bez określonego terminu i bez uzasadnienia, naruszają zasadę ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO.
Zasada ograniczenia przechowywania — co mówi RODO
Art. 5 ust. 1 lit. e RODO stanowi, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osób, których dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane.
Po upływie tego okresu dane powinny zostać:
- usunięte — trwale i nieodwracalnie,
- zanonimizowane — w sposób uniemożliwiający identyfikację osoby fizycznej,
- zarchiwizowane — jeśli przepis prawa nakazuje ich dalsze przechowywanie.
Samo określenie okresu retencji w dokumentacji nie wystarczy. Administrator musi zapewnić, że dane są faktycznie usuwane po upływie terminu — i być w stanie to udowodnić.
Od czego zależy okres przechowywania danych osobowych
Okres retencji zależy od kilku czynników:
Cel przetwarzania — dane zbierane w celu realizacji umowy można przechowywać przez czas trwania umowy i przez okres przedawnienia roszczeń. Dane zbierane na podstawie zgody — do czasu jej wycofania.
Przepisy szczególne — wiele aktów prawnych wprost wskazuje minimalne lub maksymalne okresy przechowywania dokumentów zawierających dane osobowe. Te przepisy mają pierwszeństwo przed ogólną zasadą minimalizacji.
Przedawnienie roszczeń — nawet po zakończeniu relacji z klientem lub pracownikiem dane mogą być przechowywane przez okres, w którym mogą być dochodzone roszczenia. Ogólny termin przedawnienia w prawie cywilnym wynosi 6 lat (po nowelizacji z 2018 r.).
Okresy retencji danych w praktyce — tabela
Poniżej orientacyjne okresy przechowywania dla najczęstszych kategorii danych. Są to okresy minimalne wynikające z przepisów — w uzasadnionych przypadkach dane mogą być przechowywane dłużej.
Dane pracownicze
| Kategoria | Okres retencji | Podstawa prawna |
|---|---|---|
| Dokumentacja pracownicza (akta osobowe) | 10 lat od końca roku, w którym rozwiązano stosunek pracy (dla zatrudnionych po 1.01.2019) | Kodeks pracy, ustawa o emeryturach |
| Dokumentacja pracownicza (zatrudnieni przed 1.01.2019) | 50 lat od zakończenia zatrudnienia | Ustawa archiwalna |
| Listy płac, karty wynagrodzeń | 10 lat (zatrudnieni po 1.01.2019) | Ustawa o emeryturach i rentach |
| Ewidencja czasu pracy | 10 lat | Kodeks pracy |
| Dokumentacja BHP | 10 lat | Rozporządzenie MRPiPS |
| CV kandydatów (po zakończeniu rekrutacji) | Do zakończenia procesu rekrutacji; za zgodą — do 12 miesięcy | RODO, art. 6 ust. 1 lit. a |
Dane klientów i kontrahentów
| Kategoria | Okres retencji | Podstawa prawna |
|---|---|---|
| Faktury i dokumenty księgowe | 5 lat od końca roku podatkowego | Ordynacja podatkowa |
| Dane do realizacji umowy | Czas trwania umowy + 6 lat (przedawnienie roszczeń) | KC, RODO |
| Dane z formularzy kontaktowych | Do czasu obsługi sprawy + 6 lat (roszczenia) | RODO, art. 6 ust. 1 lit. f |
| Dane subskrybentów newslettera | Do wycofania zgody | RODO, art. 6 ust. 1 lit. a |
| Dane z cookies analitycznych | Zgodnie z ustawieniami narzędzia, zazwyczaj 13–26 miesięcy | RODO, ePrivacy |
Dane w specyficznych kontekstach
| Kategoria | Okres retencji | Podstawa prawna |
|---|---|---|
| Monitoring CCTV | Co do zasady do 3 miesięcy, chyba że nagrania stanowią dowód | Kodeks pracy, art. 222 § 3 |
| Dokumentacja naruszenia ochrony danych | 5 lat | Wytyczne EROD |
| Rejestr czynności przetwarzania | Bez określonego terminu — przez cały czas obowiązywania | RODO, art. 30 |
| Upoważnienia do przetwarzania danych | Przez czas zatrudnienia + okres przedawnienia roszczeń | RODO, zasada rozliczalności |
| Zgody marketingowe | Do wycofania zgody + 6 lat (dowód na wypadek roszczeń) | RODO, art. 7 |
Jak wdrożyć politykę retencji w organizacji
Określenie okresów retencji to dopiero pierwszy krok. W praktyce wdrożenie retencji wymaga:
Przypisania terminów do rejestru czynności przetwarzania. Każda czynność przetwarzania w rejestrze czynności przetwarzania powinna mieć wskazany okres przechowywania danych. Brak tego wpisu to niekompletny rejestr.
Określenia momentu, od którego liczy się termin. Termin retencji może biec od: daty zebrania danych, zakończenia umowy, zakończenia stosunku pracy, wycofania zgody, końca roku podatkowego. Dla każdej kategorii danych moment startowy musi być jasno określony.
Przypisania odpowiedzialności. Kto konkretnie jest odpowiedzialny za usunięcie danych po upływie terminu? Bez wyraźnego przypisania odpowiedzialności dane pozostają w systemach bez decyzji.
Mechanizmu przypomnienia i dokumentowania usunięć. Termin retencji bez systemu powiadomień to tylko zapis w dokumentacji — nieegzekwowalny w praktyce. Administrator powinien być informowany o zbliżającym się terminie i dokumentować wykonane usunięcia.
Najczęstsze błędy w retencji danych
Przechowywanie danych „na wszelki wypadek”. Brak decyzji o usunięciu to naruszenie zasady ograniczenia przechowywania — nawet jeśli dane nie są aktywnie wykorzystywane.
Usunięcie z jednego systemu, pominięcie innych. Dane usunięte z CRM, ale nadal obecne w skrzynce mailowej, kopii zapasowej lub u podprocesora. Retencja musi obejmować wszystkie miejsca przechowywania.
Brak dokumentacji usunięć. Administrator nie jest w stanie wykazać, kiedy i jakie dane zostały usunięte. Podczas kontroli UODO to poważny brak — naruszenie zasady rozliczalności.
Nieaktualne okresy retencji. Przepisy się zmieniają — np. skrócenie okresu przechowywania dokumentacji pracowniczej z 50 do 10 lat dla nowych pracowników. Polityka retencji musi być na bieżąco weryfikowana.
Brak polityki retencji dla danych w kopiach zapasowych. Kopie zapasowe to osobna kategoria — często pomijana. Dane usunięte z systemów produkcyjnych mogą latami pozostawać w backupach.
Retencja danych w iGDPR
iGDPR posiada dedykowany moduł zarządzania retencją danych, który pozwala przypisać okresy przechowywania do konkretnych czynności przetwarzania, otrzymywać powiadomienia o zbliżających się terminach usunięcia oraz dokumentować wykonane usunięcia w rejestrze. Dzięki temu retencja przestaje być zapisem w dokumentacji, a staje się realnym, udokumentowanym procesem gotowym na kontrolę UODO.
Podsumowanie
Jak długo przechowywać dane osobowe — odpowiedź zależy od celu przetwarzania, przepisów szczególnych i okresu przedawnienia roszczeń. Nie istnieje jeden uniwersalny termin, ale istnieje obowiązek jego określenia dla każdej kategorii danych.
Kluczowe zasady:
- dane powinny być przechowywane tylko tak długo, jak jest to niezbędne do realizacji celu,
- okres retencji musi być określony w rejestrze czynności przetwarzania,
- usunięcie danych musi obejmować wszystkie systemy i miejsca przechowywania,
- wykonane usunięcia powinny być dokumentowane,
- polityka retencji wymaga regularnej weryfikacji i aktualizacji.
Często zadawane pytania o retencję danych
Dane klientów można przechowywać przez czas trwania umowy oraz przez okres przedawnienia roszczeń — co do zasady 6 lat od daty wymagalności. Faktury i dokumenty księgowe — 5 lat od końca roku podatkowego.
Dla pracowników zatrudnionych po 1 stycznia 2019 roku — 10 lat od końca roku, w którym rozwiązano stosunek pracy. Dla zatrudnionych wcześniej — 50 lat, chyba że pracodawca złożył raport informacyjny do ZUS.
Nie — dane subskrybentów newslettera powinny być przechowywane do momentu wycofania zgody. Po wycofaniu zgody należy zaprzestać wysyłki i usunąć dane lub zanonimizować je.
Co do zasady dane kandydatów powinny być usunięte po zakończeniu procesu rekrutacji. Jeśli kandydat wyraził zgodę na udział w przyszłych rekrutacjach — dane można przechowywać do 12 miesięcy.
Co do zasady do 3 miesięcy od daty nagrania. Jeśli nagranie stanowi dowód w postępowaniu — do czasu jego prawomocnego zakończenia.
Tak — zasada rozliczalności wymaga, żeby administrator był w stanie wykazać, kiedy i jakie dane zostały usunięte. Rejestr usunięć jest dowodem zgodności podczas kontroli UODO.
Zarządzaj retencją danych i dokumentuj usunięcia w jednym systemie
iGDPR pozwala przypisać okresy retencji do czynności przetwarzania, otrzymywać powiadomienia o zbliżających się terminach usunięcia i dokumentować wykonane usunięcia — wszystko w jednym miejscu, gotowe na kontrolę UODO. Sprawdź, jak działa w praktyce.
TESTUJ TERAZ — 21 dni bezpłatnie