Jednym z najczęściej zadawanych pytań przez administratorów danych jest: jak długo można przechowywać dane osobowe? Odpowiedź nie jest jednoznaczna — RODO nie wskazuje jednego uniwersalnego okresu retencji. Zamiast tego nakłada obowiązek, żeby dane były przechowywane wyłącznie tak długo, jak jest to niezbędne do realizacji celu, dla którego zostały zebrane.
W praktyce oznacza to, że administrator musi dla każdej kategorii danych i każdego celu przetwarzania samodzielnie określić okres retencji — i być w stanie uzasadnić tę decyzję. Dane przechowywane „na wszelki wypadek”, bez określonego terminu i bez uzasadnienia, naruszają zasadę ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO.
Zasada ograniczenia przechowywania — co mówi RODO
Art. 5 ust. 1 lit. e RODO stanowi, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osób, których dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane.
Po upływie tego okresu dane powinny zostać:
- usunięte — trwale i nieodwracalnie,
- zanonimizowane — w sposób uniemożliwiający identyfikację osoby fizycznej,
- zarchiwizowane — jeśli przepis prawa nakazuje ich dalsze przechowywanie.
Samo określenie okresu retencji w dokumentacji nie wystarczy. Administrator musi zapewnić, że dane są faktycznie usuwane po upływie terminu — i być w stanie to udowodnić.
Od czego zależy okres przechowywania danych osobowych
Okres retencji zależy od kilku czynników:
Cel przetwarzania — dane zbierane w celu realizacji umowy można przechowywać przez czas trwania umowy i przez okres przedawnienia roszczeń. Dane zbierane na podstawie zgody — do czasu jej wycofania.
Przepisy szczególne — wiele aktów prawnych wprost wskazuje minimalne lub maksymalne okresy przechowywania dokumentów zawierających dane osobowe. Te przepisy mają pierwszeństwo przed ogólną zasadą minimalizacji.
Przedawnienie roszczeń — nawet po zakończeniu relacji z klientem lub pracownikiem dane mogą być przechowywane przez okres, w którym mogą być dochodzone roszczenia. Ogólny termin przedawnienia w prawie cywilnym wynosi 6 lat (po nowelizacji z 2018 r.).
Okresy retencji danych w praktyce — tabela
Poniżej orientacyjne okresy przechowywania dla najczęstszych kategorii danych. Są to okresy minimalne wynikające z przepisów — w uzasadnionych przypadkach dane mogą być przechowywane dłużej.
Dane pracownicze
| Kategoria | Okres retencji | Podstawa prawna |
|---|---|---|
| Dokumentacja pracownicza (akta osobowe) | 10 lat od końca roku, w którym rozwiązano stosunek pracy (dla zatrudnionych po 1.01.2019) | Kodeks pracy, ustawa o emeryturach |
| Dokumentacja pracownicza (zatrudnieni przed 1.01.2019) | 50 lat od zakończenia zatrudnienia | Ustawa archiwalna |
| Listy płac, karty wynagrodzeń | 10 lat (zatrudnieni po 1.01.2019) | Ustawa o emeryturach i rentach |
| Ewidencja czasu pracy | 10 lat | Kodeks pracy |
| Dokumentacja BHP | 10 lat | Rozporządzenie MRPiPS |
| CV kandydatów (po zakończeniu rekrutacji) | Do zakończenia procesu rekrutacji; za zgodą — do 12 miesięcy | RODO, art. 6 ust. 1 lit. a |
Dane klientów i kontrahentów
| Kategoria | Okres retencji | Podstawa prawna |
|---|---|---|
| Faktury i dokumenty księgowe | 5 lat od końca roku podatkowego | Ordynacja podatkowa |
| Dane do realizacji umowy | Czas trwania umowy + 6 lat (przedawnienie roszczeń) | KC, RODO |
| Dane z formularzy kontaktowych | Do czasu obsługi sprawy + 6 lat (roszczenia) | RODO, art. 6 ust. 1 lit. f |
| Dane subskrybentów newslettera | Do wycofania zgody | RODO, art. 6 ust. 1 lit. a |
| Dane z cookies analitycznych | Zgodnie z ustawieniami narzędzia, zazwyczaj 13–26 miesięcy | RODO, ePrivacy |
Dane w specyficznych kontekstach
| Kategoria | Okres retencji | Podstawa prawna |
|---|---|---|
| Monitoring CCTV | Co do zasady do 3 miesięcy, chyba że nagrania stanowią dowód | Kodeks pracy, art. 222 § 3 |
| Dokumentacja naruszenia ochrony danych | 5 lat | Wytyczne EROD |
| Rejestr czynności przetwarzania | Bez określonego terminu — przez cały czas obowiązywania | RODO, art. 30 |
| Upoważnienia do przetwarzania danych | Przez czas zatrudnienia + okres przedawnienia roszczeń | RODO, zasada rozliczalności |
| Zgody marketingowe | Do wycofania zgody + 6 lat (dowód na wypadek roszczeń) | RODO, art. 7 |
Jak wdrożyć politykę retencji w organizacji
Określenie okresów retencji to dopiero pierwszy krok. W praktyce wdrożenie retencji wymaga:
Przypisania terminów do rejestru czynności przetwarzania. Każda czynność przetwarzania w rejestrze czynności przetwarzania powinna mieć wskazany okres przechowywania danych. Brak tego wpisu to niekompletny rejestr.
Określenia momentu, od którego liczy się termin. Termin retencji może biec od: daty zebrania danych, zakończenia umowy, zakończenia stosunku pracy, wycofania zgody, końca roku podatkowego. Dla każdej kategorii danych moment startowy musi być jasno określony.
Przypisania odpowiedzialności. Kto konkretnie jest odpowiedzialny za usunięcie danych po upływie terminu? Bez wyraźnego przypisania odpowiedzialności dane pozostają w systemach bez decyzji.
Mechanizmu przypomnienia i dokumentowania usunięć. Termin retencji bez systemu powiadomień to tylko zapis w dokumentacji — nieegzekwowalny w praktyce. Administrator powinien być informowany o zbliżającym się terminie i dokumentować wykonane usunięcia.
Najczęstsze błędy w retencji danych
Przechowywanie danych „na wszelki wypadek”. Brak decyzji o usunięciu to naruszenie zasady ograniczenia przechowywania — nawet jeśli dane nie są aktywnie wykorzystywane.
Usunięcie z jednego systemu, pominięcie innych. Dane usunięte z CRM, ale nadal obecne w skrzynce mailowej, kopii zapasowej lub u podprocesora. Retencja musi obejmować wszystkie miejsca przechowywania.
Brak dokumentacji usunięć. Administrator nie jest w stanie wykazać, kiedy i jakie dane zostały usunięte. Podczas kontroli UODO to poważny brak — naruszenie zasady rozliczalności.
Nieaktualne okresy retencji. Przepisy się zmieniają — np. skrócenie okresu przechowywania dokumentacji pracowniczej z 50 do 10 lat dla nowych pracowników. Polityka retencji musi być na bieżąco weryfikowana.
Brak polityki retencji dla danych w kopiach zapasowych. Kopie zapasowe to osobna kategoria — często pomijana. Dane usunięte z systemów produkcyjnych mogą latami pozostawać w backupach.
Retencja danych w iGDPR
iGDPR posiada dedykowany moduł zarządzania retencją danych, który pozwala przypisać okresy przechowywania do konkretnych czynności przetwarzania, otrzymywać powiadomienia o zbliżających się terminach usunięcia oraz dokumentować wykonane usunięcia w rejestrze. Dzięki temu retencja przestaje być zapisem w dokumentacji, a staje się realnym, udokumentowanym procesem gotowym na kontrolę UODO.
Podsumowanie
Jak długo przechowywać dane osobowe — odpowiedź zależy od celu przetwarzania, przepisów szczególnych i okresu przedawnienia roszczeń. Nie istnieje jeden uniwersalny termin, ale istnieje obowiązek jego określenia dla każdej kategorii danych.
Kluczowe zasady:
- dane powinny być przechowywane tylko tak długo, jak jest to niezbędne do realizacji celu,
- okres retencji musi być określony w rejestrze czynności przetwarzania,
- usunięcie danych musi obejmować wszystkie systemy i miejsca przechowywania,
- wykonane usunięcia powinny być dokumentowane,
- polityka retencji wymaga regularnej weryfikacji i aktualizacji.
Często zadawane pytania o retencję danych
Dane klientów można przechowywać przez czas trwania umowy oraz przez okres przedawnienia roszczeń — co do zasady 6 lat od daty wymagalności. Faktury i dokumenty księgowe — 5 lat od końca roku podatkowego.
Dla pracowników zatrudnionych po 1 stycznia 2019 roku — 10 lat od końca roku, w którym rozwiązano stosunek pracy. Dla zatrudnionych wcześniej — 50 lat, chyba że pracodawca złożył raport informacyjny do ZUS.
Nie — dane subskrybentów newslettera powinny być przechowywane do momentu wycofania zgody. Po wycofaniu zgody należy zaprzestać wysyłki i usunąć dane lub zanonimizować je.
Co do zasady dane kandydatów powinny być usunięte po zakończeniu procesu rekrutacji. Jeśli kandydat wyraził zgodę na udział w przyszłych rekrutacjach — dane można przechowywać do 12 miesięcy.
Co do zasady do 3 miesięcy od daty nagrania. Jeśli nagranie stanowi dowód w postępowaniu — do czasu jego prawomocnego zakończenia.
Tak — zasada rozliczalności wymaga, żeby administrator był w stanie wykazać, kiedy i jakie dane zostały usunięte. Rejestr usunięć jest dowodem zgodności podczas kontroli UODO.
Zarządzaj retencją danych i dokumentuj usunięcia w jednym systemie
iGDPR pozwala przypisać okresy retencji do czynności przetwarzania, otrzymywać powiadomienia o zbliżających się terminach usunięcia i dokumentować wykonane usunięcia — wszystko w jednym miejscu, gotowe na kontrolę UODO. Sprawdź, jak działa w praktyce.
TESTUJ TERAZ — 21 dni bezpłatnieLinki zewnętrzne
| Anchor | URL | Gdzie w artykule |
|---|---|---|
art. 5 ust. 1 lit. e RODO | https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679#d1e1873-1-1 | Sekcja wprowadzająca |
wytyczne EROD dotyczące naruszeń | https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-92022-personal-data-breach_en | Tabela — naruszenia |
Wszystkie: target="_blank" rel="noopener noreferrer"
Linki wewnętrzne
| Anchor | URL docelowy | Gdzie w artykule |
|---|---|---|
rejestrze czynności przetwarzania | /pl/rejestr-czynnosci-przetwarzania-wzor-i-przyklad/ | Sekcja „Jak wdrożyć politykę retencji” |
moduł zarządzania retencją danych | /pl/system-igdpr/retencja-danych-osobowych-i-cykliczne-usuwanie/ | Sekcja „Retencja w iGDPR” |
kontroli UODO | /pl/kontrola-uodo-jak-sie-przygotowac-checklista/ | Sekcja „Najczęstsze błędy” |
Sonnet 4.6
Retencja danych, czyli okres przechowywania danych osobowych, to jeden z najczęściej problematycznych obszarów w praktyce RODO. W teorii zasada jest prosta — dane powinny być przechowywane tylko tak długo, jak jest to potrzebne do realizacji celu.
W praktyce wygląda to zupełnie inaczej. Dane zostają w systemach „na wszelki wypadek”, nikt nie podejmuje decyzji o ich usunięciu, a różne wersje tych samych informacji funkcjonują równolegle w kilku miejscach.
I właśnie w tym obszarze najczęściej pojawia się brak kontroli.
Co oznacza retencja danych w RODO?
Retencja danych to nie tylko określenie czasu przechowywania danych. To również decyzja, co się z nimi stanie po jego upływie.
Organizacja powinna być w stanie jasno odpowiedzieć:
- jak długo dane są potrzebne
- kiedy powinny zostać usunięte
- czy istnieje uzasadnienie ich dalszego przechowywania
Brak odpowiedzi na te pytania to pierwszy sygnał problemu.
Od czego zależy okres przechowywania danych?
Nie istnieje jeden uniwersalny okres retencji. Każdy przypadek wymaga indywidualnej oceny, która uwzględnia cel przetwarzania, podstawę prawną oraz przepisy szczególne.
W praktyce oznacza to, że organizacja powinna umieć powiązać dane z konkretnym procesem i uzasadnić, dlaczego są one nadal przechowywane.
Przykładowe okresy retencji danych
W niektórych obszarach można wskazać orientacyjne ramy:
- dane księgowe przechowuje się zazwyczaj przez 5 lat
- dokumentację pracowniczą przez 10 lat
- dane marketingowe do momentu wycofania zgody
- dane klientów przez okres trwania relacji oraz przedawnienia roszczeń
ale nawet w tych przypadkach kluczowe jest uzasadnienie, a nie sam okres.
Problem w praktyce: dane „żyją własnym życiem”
W wielu organizacjach dane nie funkcjonują w jednym, uporządkowanym środowisku. Trafiają do systemów sprzedażowych, narzędzi marketingowych, skrzynek mailowych i kopii zapasowych.
Nawet jeśli formalnie ustalono okres retencji, jego egzekwowanie jest bardzo trudne. Dane mogą zostać usunięte w jednym systemie, a jednocześnie nadal istnieć w innym.
To właśnie w takich sytuacjach organizacja traci kontrolę i nie jest w stanie wykazać zgodności.
Najczęstszy błąd: brak decyzji
Największym problemem nie jest brak wiedzy o przepisach, ale brak decyzji.
Temat retencji jest odkładany, okresy nie są określane, a dane pozostają w systemach bez realnej kontroli. Z czasem prowadzi to do sytuacji, w której nikt nie wie, co powinno zostać usunięte, a co nadal jest potrzebne.
I właśnie ten moment najczęściej ujawnia się podczas kontroli.
Jak wdrożyć retencję danych w firmie?
Wdrożenie retencji nie polega na stworzeniu jednego dokumentu, ale na uporządkowaniu procesu.
Najpierw należy zidentyfikować dane i miejsca ich przechowywania, następnie określić cele przetwarzania i przypisać im konkretne okresy retencji. Kolejnym krokiem jest ustalenie, w jaki sposób dane będą usuwane oraz kto za to odpowiada.
Na końcu pojawia się element najtrudniejszy — kontrola.
Czyli sprawdzenie, czy to, co zostało zaplanowane, faktycznie działa.
Zobacz: Retencja i cykliczne usuwanie danych nadmiarowych
Retencja w praktyce: problem nie kończy się na „ustaleniu okresu”
Samo określenie okresu przechowywania danych to dopiero początek.
W praktyce pojawiają się pytania, na które wiele organizacji nie ma odpowiedzi. Kto odpowiada za usunięcie danych? W którym momencie należy to zrobić? Jak udokumentować wykonanie tego obowiązku?
Brakuje centralnego rejestru usunięć, przypisania odpowiedzialności oraz dowodów wykonania działań.
A to właśnie te elementy są kluczowe z punktu widzenia rozliczalności.
Jak uporządkować retencję danych?
Coraz więcej organizacji odchodzi od ręcznego podejścia i zaczyna traktować retencję jako proces, który można uporządkować i kontrolować.
W praktyce oznacza to przypisanie okresów retencji do konkretnych czynności przetwarzania oraz bieżące monitorowanie, czy obowiązki związane z usuwaniem danych są realizowane.
Dzięki temu retencja przestaje być zapisem w dokumentacji, a staje się realnym działaniem.
Jak wygląda uporządkowane zarządzanie retencją?
W uporządkowanym środowisku organizacja ma pełną widoczność tego, jakie dane posiada i jak długo powinna je przechowywać.
Możliwe jest nie tylko definiowanie okresów retencji, ale również prowadzenie rejestru usunięć oraz dokumentowanie wykonanych działań. W razie potrzeby można wykazać, kiedy dane zostały usunięte i na jakiej podstawie.
To właśnie ten poziom kontroli pozwala mówić o realnej zgodności z RODO.
Retencja danych jako proces, nie jednorazowe działanie
Retencja danych nie jest jednorazową czynnością, ale procesem, który powinien działać w sposób ciągły.
W praktyce oznacza to monitorowanie upływu okresów retencji oraz reagowanie w odpowiednim momencie. Organizacja powinna otrzymywać sygnał, że dane powinny zostać usunięte, a następnie mieć możliwość udokumentowania wykonania tego działania.
W uporządkowanym środowisku wsparciem są mechanizmy powiadomień — zarówno w systemie, jak i poprzez e-mail — które informują osoby odpowiedzialne o konieczności działania.
To właśnie te elementy sprawiają, że retencja przestaje być problemem operacyjnym.
Sprawdź, jak uporządkować retencję danych, kontrolować terminy i dokumentować usunięcia
Retencja danych a kontrola UODO
Podczas kontroli bardzo często pojawia się jedno podstawowe pytanie: dlaczego dane są nadal przechowywane?
Jeżeli organizacja nie potrafi wskazać celu, okresu retencji i uzasadnienia dalszego przetwarzania, pojawia się realne ryzyko zakwestionowania zgodności.
To jeden z obszarów, który najłatwiej zweryfikować.
Czy Excel wystarczy do zarządzania retencją?
Na początku często tak się wydaje.
Z czasem jednak liczba danych rośnie, pojawiają się kolejne systemy, a proces staje się coraz bardziej złożony. W pewnym momencie ręczne podejście przestaje być wystarczające.
I wtedy pojawia się potrzeba uporządkowania tego obszaru.
Najczęstsze błędy w retencji danych
Najczęściej spotykane problemy to:
- brak określonych okresów retencji
- przechowywanie danych „na wszelki wypadek”
- brak realnego usuwania danych
- brak kontroli nad systemami
- brak spójności między procesami
Podsumowanie
Retencja danych RODO to jeden z kluczowych elementów zgodności.
Problem nie polega na braku przepisów, ale na braku ich wdrożenia w praktyce. Właśnie w tym obszarze wiele organizacji traci kontrolę nad danymi — nie dlatego, że nie znają zasad, ale dlatego, że nie mają uporządkowanego procesu.
I to jest moment, w którym pojawia się realne ryzyko.
