Polityka retencji danych osobowych

Polityka retencji danych osobowych w Polsce to wewnętrzny dokument organizacyjny administratora danych, który określa okresy przechowywania poszczególnych kategorii danych osobowych, kryteria ustalania tych okresów oraz metody bezpiecznego usuwania lub anonimizacji danych po upływie okresu retencji, realizując zasadę ograniczenia przechowywania z art. 5 ust. 1 lit. e rozporządzenia (UE) 2016/679 (RODO) i zasadę rozliczalności z art. 5 ust. 2 RODO. Stanowi fundamentalny element systemu zarządzania ochroną danych, łącząc wymagania RODO z przepisami polskiego prawa szczegółowego regulującego terminy przechowywania dokumentacji.

Zasada ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO wymaga, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osoby przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane. Zasada ta nie zakazuje długoterminowego przechowywania danych osobowych — zezwala na nie wyłącznie, jeżeli dane będą przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, badań naukowych lub historycznych albo do celów statystycznych (art. 89 ust. 1 RODO), z zastrzeżeniem wdrożenia odpowiednich środków ochronnych. Administrator musi znać i dokumentować terminy retencji dla każdej kategorii danych — jest to element rejestru czynności przetwarzania (art. 30 ust. 1 lit. f RODO).

Polskie prawo szczegółowe nakłada konkretne terminy przechowywania dokumentacji w różnych dziedzinach. Art. 94 pkt 9b Kodeksu pracy (ustawa z 26.06.1974 r., Dz.U. 1974 nr 24 poz. 141 ze zm.) w brzmieniu nadanym ustawą z 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych określa nowe zasady: akta pracownicze osób zatrudnionych od 01.01.2019 r. przechowywane są przez 10 lat od końca roku, w którym stosunek pracy uległ rozwiązaniu lub wygasł (zamiast poprzednich 50 lat). Dla pracowników zatrudnionych przed 1999 r. terminy te pozostają 50-letnie, a dla zatrudnionych w latach 1999-2018 możliwe jest skrócenie do 10 lat po złożeniu stosownych raportów do Zakładu Ubezpieczeń Społecznych (ZUS).

Art. 74 ust. 2 ustawy z 29 września 1994 r. o rachunkowości (Dz.U. 1994 nr 121 poz. 591 ze zm.) wyznacza terminy przechowywania dokumentacji finansowo-księgowej — 5 lat od zamknięcia ksiąg rachunkowych dla ksiąg i sprawozdań, 5 lat dla dokumentów służących do ich sporządzenia. Art. 70 § 1 ustawy z 29 sierpnia 1997 r. Ordynacja podatkowa (Dz.U. 1997 nr 137 poz. 926 ze zm.) określa przedawnienie zobowiązań podatkowych na 5 lat od końca roku, w którym upłynął termin płatności podatku — co przekłada się na obowiązek przechowywania dokumentacji podatkowej przez ten okres. Art. 222 § 3 Kodeksu pracy wyznacza maksymalny czas retencji nagrań z monitoringu wizyjnego w miejscu pracy — 3 miesiące. Politykę retencji danych osobowych spełniającą polskie wymogi prawne udostępnia forms-legal.com.

Polityka retencji danych osobowych w Polsce jest obowiązkowa dla każdego administratora danych jako element realizacji zasady ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO i zasady rozliczalności z art. 5 ust. 2 RODO.

**Każda organizacja przetwarzająca dane osobowe.** Rejestr czynności przetwarzania (art. 30 RODO) wymaga wskazania planowanych terminów usunięcia poszczególnych kategorii danych — co jest niemożliwe bez polityki retencji. Prezes Urzędu Ochrony Danych Osobowych (PUODO) weryfikuje terminy retencji podczas kontroli jako element oceny przestrzegania zasady ograniczenia przechowywania.

**Pracodawcy i działy kadrowe.** Zmiana przepisów Kodeksu pracy od 01.01.2019 r. (skrócenie okresu przechowywania akt pracowniczych z 50 do 10 lat dla nowych pracowników) wymaga wdrożenia nowych zasad retencji w firmach zatrudniających pracowników. Polityka retencji pozwala uniknąć zarówno zbyt wczesnego usunięcia danych (co naraża na zarzuty ze strony ZUS lub byłych pracowników), jak i ich zbyt długiego przechowywania (co narusza RODO).

**Podmioty wdrażające systemy IT i CRM.** Wdrożenie nowego oprogramowania (CRM, ERP, systemu kadrowo-płacowego) wymaga skonfigurowania automatycznych reguł retencji danych — co jest niemożliwe bez uprzedniego zdefiniowania polityki retencji. Polityka retencji jest dokumentem „przed kodem" — najpierw administrator musi wiedzieć, jak długo przechowuje dane, a potem skonfigurować systemy IT, aby automatycznie realizowały te terminy.

**Typowe sytuacje wymagające polityki retencji:** - wdrożenie polityki bezpieczeństwa informacji lub systemu ISMS (ISO 27001 wymaga polityki retencji) - audyt RODO lub kontrola PUODO — brak polityki retencji lub jej niekompletność jest najczęstszym uchybieniem - fuzja lub przejęcie spółki — due diligence RODO wymaga inwentaryzacji retencji danych w przejmowanym podmiocie - przejście na nowy system IT lub migracja do chmury — nowe systemy wymagają skonfigurowania reguł retencji - zatrudnienie IOD — Inspektor Ochrony Danych wymaga polityki retencji do prawidłowego wykonywania swoich obowiązków - wdrożenie marketingu e-mailowego lub systemu CRM z historią klientów — listy marketingowe i dane klientów wymagają zdefiniowanych terminów retencji - uruchomienie lub rozbudowa systemu monitoringu CCTV — terminy retencji nagrań wynikają z art. 222 § 3 KP

**Organizacje przetwarzające dane przez długi czas.** Szpitale i placówki medyczne przechowujące dokumentację medyczną, towarzystwa ubezpieczeniowe przechowujące dane ubezpieczonych, fundusze emerytalne i instytucje finansowe przechowujące dane przez dziesiątki lat — muszą mieć szczegółowo opracowane polityki retencji dostosowane do przepisów sektorowych.

Polityka retencji danych osobowych w Polsce musi zawierać elementy umożliwiające praktyczne zarządzanie cyklem życia danych — od ich zebrania aż po bezpieczne usunięcie.

**1. Zakres i cele polityki.** Jednoznaczne określenie, do jakich kategorii danych i jakich systemów przetwarzania polityka ma zastosowanie. Polityka powinna obejmować wszystkie kategorie danych przetwarzanych przez administratora — papierowe akta, dane elektroniczne w systemach IT, nagrania audio-wideo, dane na nośnikach przenośnych. Cel polityki: zapewnienie zgodności z zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) i realizacja zasady rozliczalności (art. 5 ust. 2 RODO).

**2. Tabela retencji — kategorie danych i przyporządkowane terminy.** Główna część polityki — tabela lub zestawienie, które dla każdej kategorii danych wskazuje: cel przetwarzania, podstawę prawną, termin retencji i podstawę prawną terminu (przepis prawa lub uzasadnienie biznesowe). Tabela powinna być wyczerpująca i obejmować co najmniej: dokumentację pracowniczą i płacową (KP art. 94), dokumentację finansowo-księgową (ustawa o rachunkowości, Ordynacja podatkowa), dane klientów i kontrahentów (KC art. 118 — termin przedawnienia roszczeń), dane do celów marketingowych, nagrania CCTV (KP art. 222 § 3), dane rekrutacyjne, dane analityczne ze strony internetowej i cookies, dokumentację BHP (Kodeks pracy i rozporządzenia wykonawcze). Politykę retencji danych z kompletną tabelą terminów dla polskich administratorów udostępnia forms-legal.com.

**3. Kryteria ustalania terminów retencji.** Wyjaśnienie zasad, na podstawie których określane są terminy retencji: przepisy prawa (ustawy, rozporządzenia, kodeksy), terminy przedawnienia roszczeń (art. 118 KC — 6 lat ogólnie, 3 lata dla roszczeń z działalności gospodarczej), wymogi regulacyjne sektorowe (np. KNF dla instytucji finansowych, NFZ dla podmiotów medycznych, UOKiK dla podmiotów konsumenckich), uzasadnione potrzeby biznesowe udokumentowane testem proporcjonalności. Brak kryteriów lub arbitralne terminy „bezterminowo" naruszają zasadę ograniczenia przechowywania.

**4. Procedura przeglądów i weryfikacji retencji.** Opis, kto i kiedy weryfikuje, czy dane zostały usunięte lub zanonimizowane po upływie okresu retencji. Automatyczne reguły usuwania w systemach IT są optymalne — polityka powinna wskazywać, czy retencja jest realizowana automatycznie (skonfigurowane reguły w systemach CRM, ERP, systemach kadrowych) czy manualnie (przez wskazaną osobę odpowiedzialną). Dla retencji manualnej wymagany jest harmonogram przeglądów — co kwartał, półrocze lub rok.

**5. Metody bezpiecznego usuwania danych.** Szczegółowy opis metod usuwania dostosowanych do kategorii danych i nośników: nadpisanie wielokrotne (wiping) dla dysków HDD, niszczenie kryptograficzne (crypto shredding) dla danych szyfrowanych, fizyczne zniszczenie nośników (niszczarka, dezintegracja, degaussing) dla nośników z danymi szczególnych kategorii. Usunięcie pliku systemu operacyjnego (Shift+Delete, opróżnienie kosza) nie stanowi bezpiecznego usunięcia — plik może być odtworzony specjalistycznym oprogramowaniem. Dla dokumentów papierowych zawierających dane osobowe — niszczarka co najmniej klasy DIN 66399 P-4 (mikrowycinkowa).

**6. Rejestr usunięć.** Dokumentowanie każdego aktu usunięcia danych — data, kategoria danych, liczba rekordów, metoda, osoba odpowiedzialna. Rejestr usunięć jest dowodem realizacji zasady ograniczenia przechowywania i zasady rozliczalności (art. 5 ust. 2 RODO) oraz jest weryfikowany przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) podczas kontroli.

**7. Zarządzanie wyjątkami.** Procedura postępowania, gdy dane muszą być przechowywane dłużej niż wynika to z polityki — np. gdy stanowią dowód w toczącym się postępowaniu sądowym lub gdy organ nadzorczy (PUODO, KNF, KAS) wydał stosowne nakazy. Wyjątki dokumentuje się w rejestrze czynności przetwarzania i w rejestrze wyjątków retencyjnych.

**8. Osoba odpowiedzialna i przegląd polityki.** Wskazanie osoby lub stanowiska odpowiedzialnego za nadzór nad realizacją polityki retencji (IOD, Compliance Officer, kierownik IT) i harmonogram przeglądu polityki — co najmniej raz do roku lub każdorazowo przy zmianie przepisów lub nowych kategoriach danych.

Polityka retencji danych osobowych w Polsce wypełniana jest przez dostosowanie wzoru do faktycznych kategorii danych przetwarzanych przez organizację i obowiązujących ją przepisów prawa.

**Krok 1: Dane administratora i osoby odpowiedzialnej.** Wpisz pełną firmę, adres i datę wejścia w życie polityki. Wskaż osobę odpowiedzialną za monitoring retencji — IOD (jeżeli wyznaczony), kierownik działu IT lub Compliance Officer. Politykę zatwierdza zarząd lub osoba upoważniona.

**Krok 2: Inwentaryzacja kategorii danych.** Przeglądnij rejestr czynności przetwarzania (jeżeli istnieje) lub przeprowadź inwentaryzację wszystkich kategorii przetwarzanych danych. Dla każdej kategorii odpowiedz na pytania: w jakim celu przetwarzamy te dane, jaki jest przepis prawa lub interes biznesowy wymagający ich przechowywania i jak długo?

**Krok 3: Wybór terminów retencji.** Dla każdej kategorii danych wybierz termin wynikający z przepisów prawa lub uzasadnienia biznesowego: akta pracownicze — 10 lub 50 lat (KP art. 94), dokumentacja finansowa — 5 lat (ustawa o rachunkowości, Ordynacja podatkowa), dane klientów — okres przedawnienia roszczeń (3 lub 6 lat — KC art. 118), CCTV — do 3 miesięcy (KP art. 222 § 3), marketing — do cofnięcia zgody lub sprzeciwu.

**Krok 4: Skonfigurowanie systemów IT.** Poinformuj dział IT o terminach retencji i zlec skonfigurowanie automatycznych reguł usuwania lub archiwizacji w systemach CRM, ERP, poczty elektronicznej, systemach kadrowych. Automatyzacja zmniejsza ryzyko „zapomnianego usuwania" i jest rekomendowana przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) jako element privacy by design (art. 25 RODO).

**Krok 5: Metoda bezpiecznego usuwania.** Zdecyduj o metodzie usuwania dla każdej kategorii danych i nośnika. Dla danych szczególnych kategorii (zdrowie, biometria) i danych finansowych — wymagane jest wielokrotne nadpisanie lub fizyczne zniszczenie nośnika. Dla danych zwykłych — nadpisanie lub anonimizacja. Dokumentuj każdy akt usunięcia w rejestrze usunięć.

**Krok 6: Szkolenie pracowników.** Wdróż politykę retencji przez szkolenie wszystkich pracowników mających dostęp do danych osobowych. Pracownicy muszą wiedzieć, które dane przechowywać i przez jak długo, oraz jak prawidłowo usuwać dane z systemów IT i niszczyć dokumenty papierowe. Potwierdzenie zapoznania się z polityką retencji przez pracowników dokumentuj — analogicznie jak w przypadku polityki bezpieczeństwa informacji.

**Krok 7: Regularne przeglądy.** Wyznacz harmonogram przeglądów polityki retencji — co najmniej raz do roku. Sprawdzaj, czy przepisy prawne nie uległy zmianie (nowe obowiązki retencyjne lub skrócone terminy), czy pojawiły się nowe kategorie danych wymagające ujęcia w polityce oraz czy systemy IT faktycznie realizują skonfigurowane reguły usuwania. Archiwizuj poprzednie wersje polityki retencji.

Polityka retencji danych osobowych w Polsce musi uwzględniać zarówno ogólne zasady RODO, jak i liczne przepisy polskiego prawa szczegółowego nakładające konkretne terminy przechowywania dokumentacji.

**Art. 5 ust. 1 lit. e RODO — zasada ograniczenia przechowywania.** Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane. Przechowywanie danych przez czas dłuższy niż wynika to z polityki retencji wymaga szczególnego uzasadnienia (archiwizacja w interesie publicznym, badania, statystyka). Naruszenie zasady ograniczenia przechowywania naraża na karę do 20 mln EUR lub 4% obrotu (art. 83 ust. 5 lit. a RODO).

**Art. 30 ust. 1 lit. f RODO — rejestr czynności przetwarzania.** Rejestr musi zawierać planowane terminy usunięcia poszczególnych kategorii danych — co wymaga istnienia polityki retencji definiującej te terminy. Brak terminów retencji w rejestrze jest jednym z najczęstszych uchybień stwierdzanych przez PUODO.

**Art. 94 pkt 9b Kodeksu pracy — akta pracownicze.** Pracodawca przechowuje dokumentację pracowniczą przez 10 lat od końca roku, w którym stosunek pracy uległ rozwiązaniu lub wygasł — dla pracowników zatrudnionych od 01.01.2019 r. (zmiana wprowadzona ustawą z 10.01.2018 r.). Dla wcześniejszych pracowników termin wynosi 50 lat, z możliwością skrócenia do 10 lat po złożeniu raportu ZUS.

**Art. 74 ustawy o rachunkowości — dokumentacja finansowa.** Pięcioletni termin przechowywania ksiąg rachunkowych, dowodów księgowych (faktur, wyciągów), dokumentacji inwentaryzacyjnej i sprawozdań finansowych od zamknięcia ksiąg. Termin liczy się od końca roku obrotowego.

**Art. 70 Ordynacji podatkowej — zobowiązania podatkowe.** Zobowiązania podatkowe przedawniają się z upływem 5 lat od końca roku, w którym upłynął termin płatności podatku. Dokumentacja podatkowa (deklaracje, ewidencje VAT, deklaracje CIT/PIT) powinna być przechowywana przez ten okres.

**Art. 222 § 3 Kodeksu pracy — monitoring CCTV.** Nagrania z monitoringu wizyjnego w miejscu pracy nie mogą być przechowywane przez okres dłuższy niż 3 miesiące od dnia nagrania, chyba że stanowią lub mogą stanowić dowód w postępowaniu — wtedy do czasu prawomocnego zakończenia postępowania.

**Art. 25 RODO — privacy by design i by default.** Administrator wdraża odpowiednie środki techniczne (automatyczne usuwanie danych po upływie okresu retencji) i organizacyjne (politykę retencji, szkolenia, procedury usuwania) zapewniające domyślne przestrzeganie zasady ograniczenia przechowywania.

Polityki retencji danych osobowych w Polsce zawierają typowe błędy, które narażają administratorów na naruszenia RODO i uchybienia stwierdzane przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

**Brak polityki retencji w ogóle.** Najczęstszy błąd — administrator nie ma żadnego dokumentu określającego terminy przechowywania danych, a rejestr czynności przetwarzania (art. 30 RODO) nie zawiera terminów usunięcia danych. PUODO weryfikuje politykę retencji jako element oceny przestrzegania zasady ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).

**Termin „bezterminowo" lub „do odwołania".** Wpisywanie w rejestrze lub polityce „bezterminowo" jako okresu retencji narusza zasadę ograniczenia przechowywania — każda kategoria danych musi mieć określony termin lub kryterium usunięcia. Jedynym wyjątkiem są dane anonimizowane (niemożliwe do przypisania do konkretnej osoby), które nie podlegają przepisom RODO.

**Nieaktualna polityka retencji po zmianie przepisów.** Zmiana Kodeksu pracy od 01.01.2019 r. (skrócenie akt pracowniczych z 50 do 10 lat) była przełomową zmianą, która wymagała aktualizacji polityk retencji wszystkich pracodawców. Administratorzy, którzy nie zaktualizowali polityki, mogą przechowywać dokumentację pracowniczą zbyt długo (co narusza RODO) lub usuwać ją zbyt wcześnie (co naraża na roszczenia ZUS lub byłych pracowników).

**Retencja zdefiniowana w polityce, lecz niezaimplementowana w systemach IT.** Polityka retencji, która nie przekłada się na automatyczne reguły usuwania w systemach CRM, ERP, kadrowych lub poczty elektronicznej — jest dokumentem bez realnego efektu. Dane przechowywane przez czas dłuższy niż zdefiniowany w polityce naruszają zasadę ograniczenia przechowywania, nawet jeżeli sam dokument jest prawidłowy.

**Brak rejestru usunięć.** Administrator usuwający dane bez dokumentowania tego procesu nie jest w stanie wykazać przed PUODO, że zasada ograniczenia przechowywania była faktycznie przestrzegana. Rejestr usunięć jest kluczowym elementem zasady rozliczalności (art. 5 ust. 2 RODO).