top of page
Szukaj

Jak długo można przetwarzać dane osobowe - okresy przechowywania danych w praktyce

  • Zdjęcie autora: Michał Nosowski
    Michał Nosowski
  • 7 lip
  • 7 minut(y) czytania

złoty zegarek

Przestrzeganie przepisów RODO to nie tylko zabezpieczanie danych osobowych przed wyciekiem. Jednym z częstych zagadnień, o których rozmawiam z różnymi ludźmi jest (na pozór) prosta kwestia – jak długo mogę/muszę przetwarzać dane osobowe w mojej firmie?


Przedsiębiorcy często intuicyjnie czują, że „im więcej i im dłużej, tym lepiej”. Ale czy to dobre podejście? Z perspektywy RODO na pewno nie. W tym wpisie postaram się przekazać Ci informacje jak należy w praktyce stosować zasady dot. retencji danych.  


Zasada ograniczenia przechowywania – co to takiego?


RODO pozwala nam przechowywać dane osobowe tak długo jak to jest niezbędne do celów, w których te dane są przetwarzane.


To tzw. zasada ograniczenia przechowywania.

Co to oznacza?


Że zbierając dane osobowe musimy:

  • określić cele, w związku z jakimi w ogóle te dane zbieramy,

  • ustalić jak długo musimy przechowywać dane osobowe po to aby osiągnąć te cele, które sobie ustaliliśmy,

  • po upływie tego okresu musimy te dane usunąć.


Dodam tu od razu, że powinniśmy przy tym zachować pewną dozę krytycznego podejścia i spojrzeć na ustalanie tych okresów przetwarzania z perspektywy osoby, której dane przetwarzamy. Musimy pamiętać o tym, że RODO generalnie chroni ludzi w związku z przetwarzaniem tych danych osobowych - i założeniem tej ochrony jest to aby dane były przechowywane jak najkrócej.


Musimy pamiętać o tym, że ustalenie konkretnych okresów przetwarzania danych zawsze realizujemy biorąc pod uwagę dwa czynniki:

  1. cel przetwarzania danych - czyli to po co przetwarzamy dane osobowe,

  2. zakres przetwarzanych danych - czyli to jakie cele chcemy osiągnąć w związku z przetwarzaniem danych osobowych.


To ważne, bo czasem w związku z przetwarzaniem danych jednej osoby będziemy realizować kilka odrębnych celów, z których każdy będzie wymagał przetwarzania nieco innego zakresu danych osobowych.


Przyjęcie jednego okresu przechowywania w odniesieniu do wszystkich danych, które przetwarzamy byłoby oczywiście niezgodne z RODO.


Musimy pamiętać, że cel przetwarzania powinien mieć obiektywne oparcie w rzeczywistości. Nie możemy tworzyć sobie wymyślonych celów przetwarzania, które są dla nas korzystniejsze i umożliwiałyby próbę „nagięcia” zasad wynikających z RODO.


Co więcej. istnieją przepisy prawa, które mogą wymagać od nas przechowywania danych osobowych przez jednoznacznie ustalony czas – zastosowanie będą miały różne przepisy szczegółowe i sektorowe. Na przykład:

·      na podstawie przepisów podatkowych muszę przechowywać dokumentację z nimi związaną przez 5 lat,

·      przepisy odnoszące się do działalności leczniczej wskazują przez ile lat musimy prowadzić dokumentację medyczną.


Jak ustalić czas przetwarzania danych w praktyce?


Przykładowo, jeśli sprzedaję coś w moim sklepie internetowym, to w związku ze sprzedażą klientowi jakiegoś produktu w sklepie internetowym mogę przetwarzać dane osobowe po to aby:

  • wysłać produkt do klienta (do tego będę musiał mieć np. jego numer telefonu, adres dla kuriera albo dane paczkomatu/urządzenia paczkomat :), do którego trzeba dostarczyć przesyłkę),

  • wysłać mu podsumowanie zamówienia i fakturę - do tego potrzebujemy jego adresu e-mail,

  • przechowywać fakturę na wypadek kontroli podatkowej - do tego potrzebujemy tylko dokumentu faktury z danymi klienta, które nam podał w celu rozliczenia.


W konsekwencji, dane w postaci adresu e-mail albo numeru telefonu nie będą objęte pięcioletnim okresem przetwarzania danych, dotyczącym faktur (chyba że oczywiście wpisaliśmy je do treści faktury) - je będziemy musieli usunąć w innym terminie.


Ale kiedy dokładnie? To niestety nie jest takie proste. Z tego co widzę, większość prawników zajmujących się przepisami RODO wskazuje, że po sprzedaży klientowi produktu możemy przechowywać dane takiego klienta np. przez:

  • czas przez który klient może zgłaszać do nas zgłaszać roszczenia z tytułu gwarancji lub rękojmi (zwykle 1-2 lata),

  • czas do upływu terminu przedawnienia roszczeń (zwykle od 3 do 6 lat), w trakcie których klient może do nas kierować jakieś żądania dot. naszego produktu.


Natomiast Prezes UODO uznaje, że te okresy przechowywania danych są zbyt długie. Jego zdaniem nie ma bowiem konieczności przechowywać danych klienta, który żadnych roszczeń nie składa. To jest tzw. przechowywanie danych na zapas i tego robić nie wolno. Innymi słowy, powinniśmy usunąć dane klienta niezwłocznie po zakończeniu procesu sprzedaży - a jeśli zgłosi nam później jakieś roszczenia, powinniśmy bazować na tych danych, które sam nam przekazał.


Jeśli chcesz się dowiedzieć więcej na ten temat, czytaj dalej - na końcu tego wpisu omawiam wyroki sądów administracyjnych, które dotyczą tej kwestii.


Jakie są inne powszechnie przyjmowane okresy przetwarzania danych?


Poniżej przedstawiam kilka przykładów:


  • Osoba zainteresowana tym co robię wchodzi na moją stronę internetowa i pisze do mnie przez formularz kontaktowy – w związku z tym trafiają do mnie dane osobowe tej osoby, takie jak np. jej imię, nazwisko albo adres e-mail. Okres przechowywania tych danych powinienem ustalić z uwzględnieniem tego przez jaki te dane są mi niezbędne do udzielenia odpowiedzi na pytania tej osoby i ewentualnie wymienienia z nią jakiejś korespondencji. Zwykle będzie to nie więcej niż kilka miesięcy (np. 3). Przechowywanie takich danych przez lata jest nieprawidłowe,

  • Organizuję darmowy webinar, na który zapisało się kilkadziesiąt osób – mogę przetwarzać ich dane przez okres realizacji webinaru i powinienem je usunąć po jego zakończeniu. W ramach tego przykładu zakładam, że osoby nie wyrażały mi żadnych dodatkowych zgód marketingowych, na podstawie których mógłbym im wysyłać newsletter.

  • Sprzedaję produkty za pośrednictwem platformy Allegro i w związku z tym wystawiam faktury zawierające dane osobowe nabywcy - przepisy podatkowe nakazują mi przechowywać faktury przez okres 5 lat od zakończenia roku podatkowego, w którym doszło do danej transakcji. Po upływie tego czasu powinienem usunąć dane osobowe.

  • przetwarzam dane osobowe kandydatów do pracy (osób, które planuję zatrudnić) - dane osobowe kandydatów, których nie zatrudniłem, powinienem usunąć niezwłocznie po zakończeniu procesu rekrutacyjnego. Natomiast jeśli jakiś kandydat wyraził zgodę na przetwarzanie jego danych osobowych również w ramach przyszłych procesów rekrutacyjnych (czyli wyraźnie zasygnalizował, że zgadza się na przetwarzanie jego danych przez dłuższy czas), to mogę przechowywać jego dane również trochę dłużej, na wypadek gdybym poszukiwał kolejnego pracownika - z reguły okres ten jest jednak nie dłuższy niż rok,

  • zatrudniam pracownika - w takim przypadku powinienem przechowywać dokumentację pracowniczą przez cały okres zatrudnienia oraz przez 10 lat po jego zakończeniu - to również termin, który wynika z przepisów prawa.


Co o tym wszystkim mówią sądy?


Powyżej pisałem o rygorystycznym stanowisku Prezesa UODO dotyczącym opierania okresu przetwarzania danych o terminy przedawnienia roszczeń.


Sprawy, które dotyczyły tej kwestii trafiły przed Naczelny Sąd Administracyjny.


Sprawa numer jeden:


W wyroku z 8 stycznia 2025 r. Naczelny Sąd Administracyjny zakończył sprawę prowadzoną na podstawie decyzji Prezesa Urzędu Ochrony Danych Osobowych wydanej wobec polskiego banku.


Bank przetwarzał dane osobowe pomimo zakończenia umowy wiążącej bank oraz jego klienta. Robił to na podstawie tzw. na podstawie uzasadnionego interesu administratora - czyli sytuacji, w której administrator uznaje, że ma jakiś ważny interes w przetwarzaniu danych (nie jest to zawarcie i wykonanie umowy ani obowiązek prawny). Bank twierdził, że tym interesem jest ochrona przed roszczeniami byłych klientów.


Niezadowolenie klientów wynikało z otrzymywania wyciągu z rachunków razem z informacjami marketingowymi – żądali oni zaprzestania przetwarzania ich danych, co nie nastąpiło. Prezes UODO przyjął taką praktykę za nieodpowiednią i przyjął, że bank nie powinien przetwarzać danych osobowych „na zapas” w związku z potencjalnym i nieistniejącym jeszcze roszczeniem klientów wobec banku. Zarówno sąd I instancji (Wojewódzki Sąd Administracyjny) rozpatrujący odwołanie od decyzji jak i NSA zgodziły się z interpretacją PUODO.


W ocenie sądów, potencjalne roszczenia byłego klienta, gdy strony nie są już związane umową, nie mogą być podstawą do dalszego przetwarzania danych w ramach uzasadnionego interesu administratora.


Sprawa numer dwa:


Miesiąc później NSA wypowiedział się jeszcze raz w sprawie okresów przetwarzania danych. W wyroku z 5 lutego 2025 r. (sygn. akt III OSK 6553/21) oceniał kwestię możliwości przetwarzania danych klienta wypożyczalni samochodów. Po zwrocie pojazdu klient złożył skargę na niezgodne z prawem przetwarzanie jego danych osobowych. Prezes Urzędu Ochrony Danych Osobowych uznał, że skoro współpraca już się zakończyła, wypożyczalnia nie powinna dalej przechowywać danych osobowych klienta. W związku z tym Prezes wydał decyzję, w ramach której nakazał ich usunięcie.


Wypożyczalnia tę decyzję zaskarżyła, powołując się na to, że przetwarza dane osobowe skarżącego na wypadek pojawienia się ewentualnych roszczeń, w ramach swojego prawnie uzasadnionego interesu (art. 6 ust. 1 lit f) RODO).


Sprawia trafiła do NSA, który stwierdził, że:

  • roszczenia wypożyczalni samochodów względem klienta byłyby już znane w momencie zwrotu pojazdu - NSA uznał, że jedynym roszczeniem byłoby uszkodzenie samochodu przez klienta. Nie wspomniał nic o mandatach albo roszczeniach zgłoszonych przez innych kierowców,

  • brak stwierdzenia szkód w pojeździe oznacza, że wypożyczalnia żadnych roszczeń nie ma - nie ma więc powodu aby dalej przetwarzać dane osobowe na wypadek ewentualnych roszczeń,

  • w związku z tym dane byłego klienta należy usunąć - przetwarzanie ich "na wypadek potencjalnych roszczeń" nie jest dozwolone. Podkreślam tu jednak, że NSA wskazał, że wypożyczalnia nie napisała jakie dokładnie roszczenia może mieć klient. Być może gdyby była w stanie udowodnić, że inne roszczenia również się pojawiają (np. szkody wyrządzone innym użytkownikom dróg, mandaty z fotoradarów itp) możliwe byłoby przetwarzanie danych dłużej.


Tym co wybrzmiewa z tych dwóch orzeczeń oraz podejścia Prezesa UODO i na co zwraca uwagę wielu prawników jest założenie, że jedynie roszczenia, które faktycznie istnieją (takie, o których wiemy, że już istnieją, ew. mają dużą szansę się pojawić) mogą być podstawą przetwarzania danych osobowych w oparciu o uzasadniony interes.



zegarek


Odmienne podejście w przypadku rekrutacji


Naczelny Sąd Administracyjny badał również możliwość przetwarzania danych osobowych kandydatów do pracy po zakończeniu rekrutacji. Celem przetwarzania w tym przypadku też była obrona przed potencjalnymi roszczeniami, tylko że z tytułu dyskryminacji w zatrudnieniu.


I co? I NSA w tym przypadku orzekł (w wyroku z 20 lutego 2024 r.), że pracodawca może przechowywać dane osobowe kandydatów również po zakończonej rekrutacji, na wypadek gdyby ci mieli zgłosić roszczenia dotyczące dyskryminacji w zatrudnieniu.


Taki kandydat nie musi faktycznie żadnych roszczeń zgłaszać, po prostu administrator (pracodawca) może zachować dane na wypadek gdyby te roszczenia się pojawiły. Tym samym, zdaniem Naczelnego Sądu Administracyjnego oparcie terminu przetwarzania danych o termin przedawnienia roszczeń w przypadku rekrutacji jest OK.


Jakie mogą być konsekwencje usunięcia danych w przypadku zgłoszenia roszczeń?


Musimy pamiętać o tym, że jeśli mielibyśmy usunąć dane osobowe jeszcze zanim ubiegnie okres przedawnienia roszczeń to istotnie ograniczamy nasze możliwości działania w ewentualnym postępowaniu cywilnym.


W końcu usunięcie wszystkich danych powoduje, że np. będąc pozwanym przez osoby, których dane dotyczyły opierać się możemy jedynie na tym, co w tym pozwie jest zawarte – a istnieje przecież taka możliwość, że istotne byłoby dla nas powołanie jakiegoś dowodu, który był jedynie w naszym posiadaniu.


Wdrażając rygorystyczne podejście do okresów retencji danych w życie, pozbawiamy się takiej opcji.


Jak widzieliście powyżej, argumenty te niestety nie spotkały się ze zrozumieniem Naczelnego Sądu Administracyjnego. Musimy jednak pamiętać, że przywołane wyroki Naczelnego Sądu Administracyjnego są ściśle związany ze stanem faktycznym w danej sprawie. I w obu tych sprawach mogło być tak, że po prostu skarżący (administratorzy danych) nie zaprezentowali wyczerpującej argumentacji, w której wskazaliby o jakie dokładnie roszczenia im chodzi i jak często one występują.


Innymi słowy, ja nie przyjmuję automatycznie, że tymi orzeczeniami utworzono jedyną słuszną wykładnie przepisów RODO, zwłaszcza, że w sprawie rekrutacji sąd orzekł dokładnie odwrotnie.

 

Podsumowanie – co robić po ustaleniu okresów przetwarzania danych?


Oczywiście, samo ustalenie okresu retencji nie jest wszystkim, co musimy zrobić. Konsekwencją ustalenia takich okresów przetwarzania danych jest wdrożenie rozwiązania organizacyjne oraz techniczne (np. automatyczne usuwanie danych po pewnym czasie), które ułatwią nam działanie zgodnie z omawianą regułą RODO.


Pamiętajcie proszę o tym, że zakończenie przechowywania danych oznacza konieczność usunięcia ich z wszystkich nośników, serwerów itp, w tym z:

  • poczty elektronicznej

  • komunikatorów

  • narzędzi CRM

  • usług chmurowych.


To może wymagać sporo pracy - warto więc pomyśleć o tym zawczasu i wdrażać takie narzędzia, które ułatwiają realizację tego procesu.



Jeżeli potrzebujesz prawnego wsparcia w ustaleniu, czy w ramach Twojej organizacji doszło do wystąpienia poważnego incydentu, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.

 

Comments

Image by Scott Rodgerson

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

michał nosowski

O Autorze:

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

O czym piszę najczęściej?  RODO | Umowy IT | Prawo autorskie | Prawo nowych technologii.

Zachęcam do obserwowania moich profili w mediach społecznościowych:

  • Facebook
  • LinkedIn
  • YouTube
Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

Projekt: 2023 Bytelaw Nosowski i Lewańska Radcowie Prawni spółka partnerska z siedzibą w Toruniu, adres: ul. Władysława Łokietka 5, 87-100 Toruń, zarejestrowana przez Sąd Rejonowy w Toruniu, VII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000990835, NIP: 8792741761, REGON: 523038621.

Polityka prywatności

bottom of page