Zasada ograniczenia przechowywania danych osobowych jest jednym z kluczowych filarów RODO. Dotyczy każdej firmy i instytucji, która gromadzi i wykorzystuje dane swoich klientów, pracowników czy kontrahentów. W praktyce oznacza to, że nie możesz przechowywać danych „na wszelki wypadek” ani dłużej, niż faktycznie tego potrzebujesz. Jeżeli nie wdrożysz odpowiednich procedur retencyjnych, ryzykujesz nie tylko kontrolę UODO, ale także wysokie kary finansowe.
Poniżej wyjaśniam, jak rozumieć tę zasadę, jakie obowiązki ma administrator danych i jakie błędy mogą skończyć się sankcjami.
Na czym polega zasada ograniczenia przechowywania?
Art. 5 ust. 1 lit. e RODO wskazuje jasno:
„Dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”.
Oznacza to, że celem przetwarzania wyznaczasz okres przechowywania danych. Jeśli cel przestaje istnieć (np. zakończono realizację umowy, upłynął okres reklamacyjny czy przedawnienie roszczeń) – dane należy usunąć albo zabezpieczyć w sposób uniemożliwiający identyfikację osoby (anonimizacja).
Przykłady naruszeń zasady ograniczenia przechowywania
Przykład 1 – baza testowa w firmie IT
Firma „SoftNet” stworzyła bazę testową do poprawiania błędów swojego systemu CRM. Zamiast używać danych fikcyjnych, wykorzystano rzeczywiste dane klientów zebrane wcześniej do obsługi zamówień. Dane w tej bazie były przechowywane przez ponad 3 lata – mimo że błędy systemu zostały naprawione już po kilku miesiącach. To naruszenie zasady, ponieważ dane były przechowywane dłużej, niż było to konieczne i dodatkowo niezgodnie z pierwotnym celem ich zebrania.
Przykład 2 – dokumentacja pracownicza w firmie budowlanej
Firma „Budmax” zatrudniała kilkudziesięciu pracowników sezonowych. Po zakończeniu współpracy pracodawca przechowywał ich dokumentację osobową bezterminowo, tłumacząc to „potrzebami księgowości”. Tymczasem przepisy prawa pracy dokładnie wskazują okres przechowywania dokumentacji (obecnie 10 lat). Brak usunięcia zbędnych danych był poważnym naruszeniem przepisów.
Jak prawidłowo określić okres przechowywania danych?
Aby działać zgodnie z RODO, administrator powinien ustalić:
- Cel przetwarzania danych – np. realizacja umowy, obsługa reklamacji, rozliczenia podatkowe.
- Przepisy prawa określające minimalne okresy przechowywania – np. dokumentacja pracownicza, dokumenty księgowe.
- Terminy przedawnienia roszczeń – np. roszczenia konsumenta z tytułu rękojmi.
- Możliwość dalszego przetwarzania – np. cele archiwalne w interesie publicznym, badania naukowe czy statystyki (na podstawie art. 89 ust. 1 RODO).
Co administrator danych powinien zrobić w praktyce?
Aby spełnić wymogi zasady ograniczenia przechowywania:
✔ Opracuj i wdroż politykę retencji danych (politykę przechowywania i usuwania danych).
✔ Stosuj wewnętrzne procedury usuwania i anonimizacji danych.
✔ Zapewnij, by ponowna identyfikacja zanonimizowanych danych nie była możliwa.
✔ Wdróż automatyczne mechanizmy usuwania danych po określonym czasie.
✔ Umiej uzasadnić przyjęty okres retencji – zarówno przed klientem, jak i przed UODO.
Sankcje za brak polityki retencji
Prezes Urzędu Ochrony Danych Osobowych wielokrotnie wskazywał, że brak realizacji zasady ograniczenia przechowywania to naruszenie RODO. W jednej z decyzji nałożono wysoką administracyjną karę pieniężną na przedsiębiorcę, który nie wdrożył polityki retencyjnej i przechowywał dane osobowe przez nieokreślony czas.
⚠️ To ważna przestroga: brak formalnych procedur nie jest „drobnostką” – to poważne naruszenie prawa ochrony danych osobowych.
Podsumowanie
- Dane osobowe przechowujesz tylko tak długo, jak to konieczne – nie wolno ich gromadzić „na zapas”.
- Cel przetwarzania wyznacza okres retencji – po jego zakończeniu dane należy usunąć albo zanonimizować.
- Administrator ma obowiązek wdrożyć procedury retencyjne i umieć je uzasadnić przed UODO.
- Brak polityki retencji = ryzyko wysokiej kary finansowej.
Podstawa prawna
- art. 5 ust. 1 lit. e, art. 89 ust. 1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO).
Tematy porad zawartych w poradniku
- zasada ograniczenia przechowywania RODO
- polityka retencji danych osobowych
- okres przechowywania danych osobowych w firmie
- anonimizacja danych osobowych RODO
Przydatne linki
- Urząd Ochrony Danych Osobowych – https://uodo.gov.pl/
- Rozporządzenie RODO w języku polskim – https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
- Ministerstwo Cyfryzacji – https://www.gov.pl/cyfryzacja