Jak długo przechowywać dane osobowe?

Zasady przechowywania danych osobowych wynikają z Ogólnego rozporządzenia o ochronie danych (RODO). Zgodnie z art. 5 ust. 1 lit. e, dane mogą być przechowywane wyłącznie przez okres niezbędny do realizacji celu, w jakim zostały zebrane. Po jego osiągnięciu powinny zostać usunięte lub zanonimizowane. Uzupełnieniem tej reguły jest art. 17 RODO, który przyznaje osobie fizycznej prawo do żądania usunięcia danych, jeżeli nie są już potrzebne administratorowi – z wyjątkiem sytuacji, gdy dalsze ich przechowywanie wynika z obowiązku prawnego.

RODO nie wskazuje sztywnych terminów retencji – ich długość zależy od okoliczności i celu przetwarzania. W praktyce oznacza to konieczność uwzględnienia również przepisów krajowych, które w wielu przypadkach wprost określają minimalny czas przechowywania określonych kategorii dokumentów. Dotyczy to w szczególności:

1. dokumentacji pracowniczej (np. akta osobowe),
   
2. nagrań z monitoringu wizyjnego w zakładach pracy,
   
3. dokumentacji księgowej i podatkowej (np. faktur, list płac),
   
4. dokumentów dotyczących zatrudnienia cudzoziemców czy rekrutacji.
   

Zgodność z przepisami sektorowymi oraz umiejętne powiązanie ich z podstawami z art. 6 RODO (lit. c – obowiązek prawny, lit. f – uzasadniony interes) stanowi fundament prawidłowego i bezpiecznego systemu przechowywania danych.

1. Dane osobowe pracowników

Dokumentacja pracownicza zawiera szeroki zakres danych osobowych – od danych identyfikacyjnych, przez historię zatrudnienia, po informacje dotyczące stanu zdrowia (np. zaświadczenia lekarskie). Obowiązek przechowywania akt osobowych i dokumentacji płacowej reguluje Kodeks pracy oraz ustawa z dnia 10 stycznia 2018 r. o zmianie niektórych ustaw w związku ze skróceniem okresu przechowywania akt pracowniczych oraz ich elektronizacją.

a) Dla pracowników zatrudnionych po 1 stycznia 2019 r. – akta osobowe należy przechowywać przez 10 lat od końca roku kalendarzowego, w którym ustał stosunek pracy (art. 94 pkt 9b k.p.).
b) Dla pracowników zatrudnionych przed 1 stycznia 2019 r. – okres wynosi 50 lat, chyba że pracodawca przekazał do ZUS raport informacyjny (wówczas również 10 lat – art. 7 ust. 2 i 3 ustawy z 10 stycznia 2018 r., Dz. U. 2018 poz. 357).

Dane te mogą być przechowywane na podstawie art. 6 ust. 1 lit. c RODO – jako realizacja obowiązku prawnego.

2. Dokumentacja podatkowo – księgowa

Faktury, listy płac, dowody księgowe i inne dokumenty finansowe często zawierają dane osobowe (np. kontrahentów, osób fizycznych, pracowników, JDG). Zgodnie z:

a) Art. 74 ustawy o rachunkowości, dokumenty księgowe należy przechowywać przez 5 lat od początku roku następującego po roku obrotowym, którego dotyczą.
b) Art. 86 Ordynacji podatkowej – przechowywanie dokumentacji podatkowej jest obowiązkiem podatnika, a termin 5 letni wiąże się z okresem przedawnienia zobowiązań podatkowych (art. 70 § 1 Ordynacji).

W tym czasie dane mogą być przechowywane również zgodnie z art. 6 ust. 1 lit. c RODO.

3. Dane klientów i kontrahentów
   

W przypadku relacji cywilnoprawnych dane klientów (np. konsumentów) i kontrahentów (np. JDG) przetwarza się między innymi dla celów realizacji umowy, rozliczeń i archiwizacji. Dane te można przechowywać przez czas:

a) Trwania umowy,
b) A następnie przez okres do 6 lat (zgodnie z ogólnym terminem przedawnienia roszczeń majątkowych – art. 118 k.c.), jeśli jest to niezbędne do ewentualnego dochodzenia lub obrony przed roszczeniami.

Podstawą przetwarzania po wykonaniu umowy jest wtedy art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora – archiwizacja na potrzeby obrony przed roszczeniami).

4. Dane wykorzystywane do celów marketingowych

   Dane osobowe, które są przetwarzane na potrzeby marketingowe (np. imię, e-mail, numer telefonu), mogą być przechowywane do czasu:

   a) wycofania zgody (w przypadku, gdy przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a RODO),
   b) zakończenia relacji z klientem lub określonego cyklu komunikacji (jeśli za podstawę można przyjąć uzasadniony interes – art. 6 ust. 1 lit. f RODO).
   

W praktyce podkreśla się, że dane, które przetwarzane są wyłącznie w celu marketingowym nie mogą być przechowywane bezterminowo. Brak aktywności odbiorcy przez dłuższy czas (np. 2 lata) może być podstawą do ich usunięcia lub ponownego uzyskania zgody.

5. Dane z monitoringu wizyjnego

   Zgodnie z art. 222 § 3 i 4 Kodeksu pracy, nagrania z monitoringu stosowanego przez pracodawcę mogą być przechowywane:

   a) do 3 miesięcy od dnia nagrania,
   b) lub dłużej – do czasu prawomocnego zakończenia postępowania, jeżeli nagranie stanowi dowód w sprawie.
   

W pozostałych przypadkach (np. monitoring w sklepach, instytucjach publicznych), okres przechowywania powinien być uzasadniony celem i nie dłuższy niż niezbędny – zazwyczaj nieprzekraczający 30-90 dni, zgodnie ze stanowiskami UODO.

6. Dane osobowe kandydatów do pracy

   Zgodnie z art. 221 § 1 Kodeksu pracy, pracodawca jest uprawniony do przetwarzania danych kandydatów jedynie do celów związanych z rekrutacją. Po jej zakończeniu dane powinny zostać usunięte – chyba że kandydat wyraził zgodę na udział w przyszłych rekrutacjach (art. 6 ust. 1 lit. a RODO).

W przypadku przetwarzania na podstawie zgody, okres przechowywania powinien być proporcjonalny do potrzeb rekrutacyjnych – zazwyczaj do 6 miesięcy lub do wycofania zgody.

Zarządzanie retencją danych osobowych to nie tylko kwestia zgodności z RODO, ale także narzędzie porządkowania procesów, ograniczania ryzyk i zwiększania transparentności działań administratora. Punktem wyjścia powinna być analiza celów przetwarzania i przepisów szczególnych, następnie – wdrożenie polityki retencyjnej obejmującej konkretne kategorie danych. Regularne przeglądy, dokumentowanie decyzji o usunięciu danych i świadomość orzecznictwa oraz stanowisk UODO są niezbędne dla zachowania zasady rozliczalności. Dobrze zaplanowana retencja to dziś nie tylko obowiązek, ale i przewaga organizacyjna.