Jak długo przechowywać dane osobowe? Zasady retencji

Zgodnie z art. 5 ust. 1 lit. e RODO, dane osobowe muszą być przechowywane nie dłużej, niż jest to niezbędne do celów, w których zostały zebrane. Motyw 39 RODO jasno wskazuje, że: „Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu.”

Podstawy prawne retencji danych osobowych

Nie ma jednej tabelki z gotowymi terminami retencji – wszystko zależy od celu przetwarzania i obowiązków prawnych. Poniżej istotne punkty, na które musi zwracać uwagę każda firma, zwłaszcza prowadząca sklep internetowy:

1. Zamówienia, reklamacje i gwarancje

• Dane do realizacji zamówienia (np. adres dostawy, kontakt) przechowujesz tak długo, jak to konieczne do dostarczenia produktu i obsługi reklamacji.

• W Polsce odpowiedzialność z tytułu rękojmi wynosi 2 lata od wydania towaru (art. 568 Kodeksu cywilnego). To oznacza, że przez ten czas możesz przetwarzać dane klienta w zakresie obsługi roszczeń.

2. Obowiązki podatkowe i księgowe

• Faktury, umowy sprzedaży czy dokumenty księgowe muszą być przechowywane przez 5 lat, licząc od końca roku kalendarzowego, w którym powstał obowiązek podatkowy (art. 74 ust. 2 Ustawy o rachunkowości, art. 86 Ordynacji podatkowej).

3. Marketing i zgody

• Jeśli masz zgodę na newsletter, przetwarzasz dane do czasu cofnięcia zgody.

• Po cofnięciu zgody powinieneś usunąć dane bez zbędnej zwłoki, o ile nie ma innej podstawy prawnej ich przechowywania (art. 17 RODO – prawo do bycia zapomnianym).

4. Rekrutacje i CV

• CV kandydatów: jeśli nie zatrudniasz kandydata, a chcesz zachować dane na potrzeby przyszłych rekrutacji – musisz mieć osobną zgodę i określić realny okres retencji (np. 12 miesięcy).

5. Rejestry RODO

• Rejestr wniosków o realizację praw (np. żądanie usunięcia danych) – tu przepisy nie podają konkretnego terminu. W praktyce przyjmuje się okres do 5 lat (zgodnie z art. 189g KPA – okres przedawnienia nałożenia kary administracyjnej).

Wyjątki: dane do celów archiwalnych, badań i statystyki

Zgodnie z RODO możesz przechowywać dane dłużej, jeśli są przetwarzane wyłącznie do celów:

• archiwalnych w interesie publicznym,

• badań naukowych lub historycznych,

• celów statystycznych.

Ale – pod warunkiem stosowania odpowiednich zabezpieczeń i minimalizacji danych.

Retencja a anonimizacja i pseudonimizacja

• Anonimizacja – dane tracą cechy osobowe nieodwracalnie → nie podlegają RODO.

• Pseudonimizacja – dane nadal są danymi osobowymi, bo można je przypisać osobie za pomocą dodatkowych informacji.

Jeśli chcesz zatrzymać dane w celach analitycznych – zadbaj o pełną anonimizację, nie tylko pseudonimizację.

Retencja danych w e-mailach

Skrzynka pocztowa to często największa luka w polityce retencji. Pamiętaj:

• E-maile z danymi osobowymi muszą być regularnie przeglądane i usuwane, jeśli nie są potrzebne.

• ICO (brytyjski organ nadzorczy) rekomenduje automatyczne archiwizowanie i kasowanie wiadomości – dobrym punktem odniesienia jest 12 miesięcy.

Dobre praktyki: jak ustalić i kontrolować retencję?

• Opracuj procedurę retencji danych – dostosowaną do celów biznesowych i działów.

• Uwzględnij terminy retencji w polityce prywatności i klauzulach informacyjnych (art. 13 i 14 RODO).

• Wdrażaj przeglądy cykliczne – co kwartał usuń zbędne dane.

• Szkol zespół – zwłaszcza dział księgowy, HR i marketing.

• Dokumentuj – pokaż organowi nadzorczemu, że masz politykę, harmonogramy i potrafisz uzasadnić okresy retencji.

Retencja danych osobowych to fundament zgodności z RODO. Nie trzymaj danych „na wszelki wypadek” – określ cel, podstawę prawną i realny czas przechowywania. W razie wątpliwości, skonsultuj politykę retencji z naszymi prawnikami: [email protected] zadzwoń: 22 390 91 05 lub Inspektorem Ochrony Danych. 

Pamiętaj: krótszy okres retencji = mniejsze ryzyko naruszeń i niższe kary.