Jak długo można przechowywać dane osobowe
Pytanie o to, jak długo można przechowywać dane osobowe, wraca w firmach regularnie i zwykle dopiero wtedy, gdy pojawia się audyt, skarga albo incydent bezpieczeństwa. To błąd, bo retencja danych nie jest technicznym dodatkiem do RODO, lecz jednym z jego podstawowych obowiązków. Im dłużej organizacja trzyma informacje bez uzasadnienia, tym większe ryzyko naruszenia prywatności, wycieku i odpowiedzialności prawnej.
W praktyce nie istnieje jedna uniwersalna liczba dni czy lat, którą można zastosować do wszystkich danych. Okres przechowywania zależy od celu przetwarzania, podstawy prawnej, przepisów szczególnych i realnej potrzeby biznesowej. Właśnie dlatego polityka retencji powinna być przemyślana, udokumentowana i powiązana z cyberbezpieczeństwem, a nie oparta na wygodnym założeniu, że „może jeszcze się przyda”.
Zasada jest prosta: nie dłużej, niż to konieczne
RODO nie podaje zamkniętego katalogu terminów przechowywania danych osobowych, ale wprowadza zasadę ograniczenia przechowywania. Oznacza to, że dane można trzymać w formie pozwalającej na identyfikację osoby tylko przez czas niezbędny do realizacji celu, dla którego zostały zebrane. To pozornie oczywiste, lecz właśnie tutaj wiele organizacji popełnia najwięcej błędów.
Najczęstszy problem polega na tym, że firmy zbierają dane w konkretnym celu, a potem nie usuwają ich po jego zakończeniu. Formularz kontaktowy został obsłużony, rekrutacja zamknięta, umowa wykonana, reklamacja rozpatrzona, ale rekord nadal pozostaje w systemie, kopii zapasowej, skrzynce mailowej i arkuszu eksportowanym przez dział sprzedaży. Z perspektywy prawa i bezpieczeństwa to nie jest neutralne zaniedbanie. To tworzenie zbędnego zasobu, który może zostać ujawniony, skradziony albo wykorzystany niezgodnie z pierwotnym celem.
Ocena „jak długo” zawsze musi wynikać z odpowiedzi na kilka pytań: po co dane są przetwarzane, jaka jest podstawa prawna, czy istnieje obowiązek ustawowy ich dalszego przechowywania, czy mogą być potrzebne do obrony przed roszczeniami oraz czy po upływie tego czasu należy je usunąć, zanonimizować lub ograniczyć dostęp. Krytyczne podejście jest tu konieczne, bo nadmierna retencja często bywa tłumaczona wygodą operacyjną, a wygoda nie jest podstawą prawną.
Warto też pamiętać, że samo przechowywanie danych to forma przetwarzania. Jeżeli więc organizacja nie ma już celu ani podstawy do dalszego trzymania informacji, nie powinna ich zachowywać „na wszelki wypadek”. Taka praktyka zwiększa powierzchnię ataku, komplikuje zarządzanie uprawnieniami i podnosi koszty zgodności. W cyberbezpieczeństwie obowiązuje ta sama logika co w ochronie danych: im mniej zbędnych zasobów, tym mniejsze ryzyko.
Od czego zależy okres przechowywania danych osobowych
Nie da się ustalić jednego terminu dla wszystkich kategorii danych, ponieważ różne procesy mają różne cele i różne reżimy prawne. Dane klientów związane z zawarciem i wykonaniem umowy mogą być potrzebne przez czas realizacji usługi, a następnie jeszcze przez okres związany z rozliczeniami podatkowymi i ewentualnymi roszczeniami. Dane kandydatów do pracy będą przechowywane inaczej niż dane użytkowników newslettera czy dane z monitoringu wizyjnego.
Znaczenie ma przede wszystkim podstawa przetwarzania. Jeżeli dane są przetwarzane na podstawie zgody, można je przechowywać do czasu jej wycofania lub do momentu, gdy cel przestaje istnieć. Jeśli podstawą jest umowa, dane mogą być potrzebne do jej wykonania, a później do wykazania prawidłowości działań lub obrony przed roszczeniami. Jeżeli przetwarzanie wynika z obowiązku prawnego, okres retencji często określają przepisy szczególne, na przykład podatkowe, rachunkowe lub pracownicze.
Duże znaczenie ma również charakter samych danych. Informacje zwykłe i dane szczególnych kategorii nie powinny być traktowane identycznie, ponieważ te drugie generują wyższe ryzyko dla praw i wolności osób. Im bardziej wrażliwy zestaw danych, tym trudniej obronić ich długie przechowywanie bez bardzo konkretnego uzasadnienia. To samo dotyczy danych dzieci, danych lokalizacyjnych czy informacji zbieranych przez systemy analityczne.
W praktyce organizacja powinna stworzyć mapę procesów przetwarzania i przypisać do nich konkretne okresy retencji oraz sposób postępowania po ich upływie. Sam zapis „do czasu realizacji celu” jest zbyt ogólny, jeśli nie wiadomo, kiedy ten cel uznaje się za zakończony. Dobra polityka retencji nie zostawia miejsca na domysły. Określa terminy, odpowiedzialności, źródła prawne i procedury usuwania danych z systemów produkcyjnych, archiwów oraz kopii bezpieczeństwa.
Typowe okresy przechowywania w firmie i najczęstsze błędy
W obszarze sprzedaży i obsługi klienta dane zwykle przechowuje się przez czas trwania relacji umownej, a następnie przez okres niezbędny do wypełnienia obowiązków księgowych i podatkowych oraz do zabezpieczenia się na wypadek sporu. To nie oznacza jednak, że cały profil klienta można bezrefleksyjnie trzymać przez lata w niezmienionej postaci. Część danych może być potrzebna dłużej, a część powinna zostać usunięta wcześniej, jeśli nie ma już dla niej uzasadnienia.
W rekrutacji dane kandydatów najczęściej przechowuje się do zakończenia konkretnego procesu naboru. Dłuższe zachowanie CV na potrzeby przyszłych rekrutacji wymaga odrębnej, ważnej podstawy, zwykle zgody. Problem polega na tym, że wiele firm zachowuje aplikacje przez lata w skrzynkach mailowych menedżerów i działów HR, mimo że nie prowadzi żadnej aktywnej rekrutacji. To klasyczny przykład niekontrolowanego magazynowania danych.
W marketingu sytuacja jest jeszcze bardziej problematyczna. Bazy mailingowe bywają traktowane jak aktywo, którego nie wolno uszczuplać, nawet jeśli kontakty od dawna nie reagują, a źródło pozyskania zgody jest niejasne. Tymczasem dane subskrybentów powinny być regularnie weryfikowane, a brak aktywności przez długi czas powinien skłaniać do przeglądu zasadności dalszego przetwarzania. Przechowywanie nieaktualnych lub martwych rekordów nie zwiększa wartości biznesowej, ale zwiększa ryzyko.
Monitoring wizyjny również nie może działać według logiki „nagrywajmy wszystko i trzymajmy jak najdłużej”. Okres retencji nagrań powinien być ograniczony do minimum potrzebnego do realizacji celu, na przykład zapewnienia bezpieczeństwa mienia lub wyjaśnienia incydentu. Długie przechowywanie materiału bez konkretnej potrzeby jest trudne do obrony i stanowi dodatkowe obciążenie dla bezpieczeństwa informacji.
Najczęstsze błędy firm są powtarzalne: brak harmonogramu retencji, brak automatycznego usuwania, przechowywanie danych w wielu niespójnych systemach, nieuwzględnianie kopii zapasowych, pozostawianie danych w prywatnych skrzynkach pracowników oraz mylenie archiwizacji z bezterminowym składowaniem. Archiwum nie jest schowkiem na wszystko. Jeśli dane trafiają do archiwum, organizacja nadal musi wiedzieć, po co tam są i kiedy mają zniknąć.
Retencja danych a cyberbezpieczeństwo organizacji
Wiele firm patrzy na retencję wyłącznie przez pryzmat zgodności z przepisami, a to zbyt wąskie podejście. Im większy zasób danych osobowych przechowywany w systemach, tym atrakcyjniejszy cel dla cyberprzestępców. Nadmiar danych zwiększa skutki ataku ransomware, włamania do poczty, błędnej konfiguracji chmury czy nadużycia uprawnień przez pracownika. Krótko mówiąc: zbędne dane to zbędne ryzyko.
Jeżeli organizacja przechowuje dane przez lata bez selekcji, to w razie incydentu skala problemu rośnie lawinowo. Trzeba ustalić, jakie osoby zostały dotknięte naruszeniem, jakie kategorie danych wyciekły, czy istnieje obowiązek zgłoszenia incydentu i jak poinformować osoby, których dane dotyczą. Im bardziej rozdęty i nieuporządkowany zbiór, tym trudniejsze staje się reagowanie. Z perspektywy bezpieczeństwa dobrze zarządzana retencja działa więc jak forma redukcji skutków potencjalnego ataku.
Istotne jest także rozróżnienie między usunięciem danych z aktywnego systemu a ich obecnością w kopiach zapasowych. Backup nie powinien służyć do obchodzenia zasad retencji, ale jednocześnie nie zawsze da się natychmiast usunąć pojedynczy rekord z każdej historycznej kopii. Dlatego organizacja powinna mieć jasno opisaną politykę: dane usunięte z systemu produkcyjnego nie są przywracane z backupu do normalnego użycia, a same kopie mają określony, ograniczony cykl życia.
Bezpieczna retencja wymaga współpracy prawników, administratorów, działu IT, compliance i właścicieli procesów biznesowych. To nie jest zadanie dla jednej osoby, która wpisze kilka terminów do tabeli. Potrzebne są mechanizmy techniczne, takie jak automatyczne reguły kasowania, klasyfikacja danych, kontrola dostępu, logowanie operacji oraz okresowe przeglądy. Dopiero wtedy retencja przestaje być deklaracją na papierze, a staje się realnym elementem zarządzania ryzykiem.
Jak ustalić i wdrożyć rozsądne terminy retencji
Punktem wyjścia powinien być rejestr czynności przetwarzania albo inna rzetelna inwentaryzacja procesów. Trzeba wiedzieć, jakie dane są zbierane, skąd pochodzą, gdzie są przechowywane, kto ma do nich dostęp i jaki cel realizują. Bez tej wiedzy ustalanie terminów retencji jest zgadywaniem, a nie zarządzaniem. Organizacje często chcą zacząć od gotowej tabeli okresów, ale bez mapy danych taka tabela szybko okazuje się fikcją.
Następnie dla każdego procesu należy określić podstawę prawną, przewidywany czas realizacji celu, obowiązki wynikające z przepisów szczególnych oraz potencjalny okres potrzebny do obrony przed roszczeniami. To pozwala zbudować harmonogram retencji oparty na faktach, a nie przyzwyczajeniach. Warto przy tym odróżnić dane niezbędne od danych pomocniczych. Nie wszystko, co system potrafi przechować, rzeczywiście trzeba zachowywać.
Kolejny etap to wdrożenie procedur operacyjnych. Dane powinny być usuwane lub anonimizowane w sposób regularny, najlepiej zautomatyzowany. Pracownicy muszą wiedzieć, że nie wolno tworzyć prywatnych archiwów klientów, kandydatów czy kontrahentów. Skrzynki mailowe, dyski współdzielone, komunikatory i narzędzia SaaS powinny zostać objęte tymi samymi zasadami co główne systemy biznesowe. W przeciwnym razie formalna polityka retencji będzie działała tylko na papierze.
Na końcu potrzebny jest przegląd i korekta. Procesy się zmieniają, przepisy się zmieniają, systemy się zmieniają, więc także okresy retencji wymagają aktualizacji. Dobra praktyka to regularny audyt zgodności między deklarowanym okresem przechowywania a stanem faktycznym. Jeśli firma twierdzi, że usuwa dane po 12 miesiącach, ale w bazie znajdują się rekordy sprzed pięciu lat, problem nie jest teoretyczny. To sygnał, że organizacja nie kontroluje własnych zasobów informacyjnych.
Najczęściej zadawane pytania
Czy RODO wskazuje konkretny maksymalny okres przechowywania danych osobowych?
Nie. RODO nie podaje jednego uniwersalnego terminu dla wszystkich danych. Wymaga natomiast, aby dane były przechowywane nie dłużej, niż jest to niezbędne do celu przetwarzania, a w niektórych przypadkach okres mogą doprecyzowywać przepisy szczególne.
Czy można przechowywać dane „na wszelki wypadek”?
Zasadniczo nie. Samo przypuszczenie, że dane mogą kiedyś się przydać, nie stanowi wystarczającej podstawy do dalszego przechowywania. Organizacja musi umieć wykazać konkretny cel, podstawę prawną i uzasadniony okres retencji.
Jak długo można trzymać dane z formularza kontaktowego?
Najczęściej do czasu obsługi zapytania i ewentualnie przez rozsądny okres potrzebny do wykazania przebiegu kontaktu lub obrony przed roszczeniami. Jeśli dalsze przechowywanie nie ma uzasadnienia, dane powinny zostać usunięte.
Czy po zakończeniu umowy dane klienta trzeba usunąć od razu?
Nie zawsze. Część danych może być nadal potrzebna do rozliczeń podatkowych, księgowych lub obrony przed roszczeniami. Nie oznacza to jednak prawa do bezterminowego przechowywania całego kompletu informacji o kliencie.
Jak długo można przechowywać CV kandydatów do pracy?
Zwykle do zakończenia konkretnej rekrutacji. Jeśli pracodawca chce zachować aplikację na potrzeby przyszłych naborów, powinien mieć ku temu odpowiednią podstawę, najczęściej zgodę kandydata, i określony termin retencji.
Czy dane usunięte z systemu mogą pozostać w kopii zapasowej?
Tak, technicznie jest to możliwe, ale backup nie może służyć do dalszego aktywnego używania danych. Kopie zapasowe powinny mieć ograniczony okres przechowywania, a dane usunięte z systemu produkcyjnego nie powinny być przywracane do normalnego przetwarzania bez ważnego powodu.
Czy archiwizacja oznacza, że dane można przechowywać bezterminowo?
Nie. Archiwizacja nie znosi zasady ograniczenia przechowywania. Dane w archiwum również muszą mieć określony cel, podstawę i termin lub kryteria usunięcia, chyba że szczególne przepisy stanowią inaczej.
Dlaczego zbyt długie przechowywanie danych to problem dla cyberbezpieczeństwa?
Bo zwiększa ilość informacji, które mogą zostać skradzione, ujawnione lub zniszczone w incydencie. Im większy i mniej uporządkowany zbiór danych, tym trudniej go chronić, monitorować i skutecznie obsłużyć naruszenie.
Kto w firmie powinien odpowiadać za ustalenie okresów retencji?
To odpowiedzialność organizacji jako administratora danych, ale w praktyce powinny współpracować ze sobą działy prawne, compliance, IT, bezpieczeństwo oraz właściciele procesów biznesowych. Retencja wymaga zarówno analizy prawnej, jak i wdrożenia technicznego.
Co zrobić, jeśli firma nie wie, jakie dane i jak długo przechowuje?
Trzeba zacząć od inwentaryzacji procesów i systemów, a następnie opracować harmonogram retencji oraz procedury usuwania. Bez mapy danych nie da się rzetelnie ocenić zgodności z RODO ani realnie ograniczyć ryzyka bezpieczeństwa.

