Firmy gromadzą dane szybciej, niż są w stanie nad nimi panować. Dane klientów, kandydatów do pracy, pracowników, byłych pracowników, kontrahentów, użytkowników strony, uczestników newslettera, nagrania z monitoringu, pliki z Teamsów, wiadomości ze Slacka, kopie zapasowe, skany dokumentów, stare foldery z projektami, archiwalne bazy z CRM i eksporty z systemów sprzedażowych. Wszystko gdzieś zostaje. Na dysku, w chmurze, w skrzynce mailowej, w backupie, w systemie kadrowym, na telefonie służbowym albo w folderze nazwanym „archiwum”.
Problem polega na tym, że RODO nie pozwala przechowywać danych osobowych bez końca tylko dlatego, że „może się kiedyś przydadzą”. Firma musi wiedzieć, po co dane zebrała, jak długo są jej potrzebne i kiedy powinna je usunąć albo zanonimizować. Brak polityki retencji danych nie jest więc drobnym brakiem formalnym. To realne ryzyko prawne, organizacyjne i reputacyjne.
Dane nie znikają same. One po cichu zalegają w firmie
W wielu organizacjach dane są traktowane jak zasób, którego lepiej nie usuwać. Ktoś mówi: zostawmy, bo może wróci klient. Ktoś inny: zostawmy, bo może przyda się do analizy. Księgowość mówi: zostawmy, bo urząd może zapytać. HR mówi: zostawmy CV, bo może kiedyś będzie rekrutacja. IT mówi: jest w backupie, więc trudno to ruszyć. Marketing mówi: baza leadów zawsze może się przydać.
Tak powstaje cyfrowy magazyn rzeczy niepotrzebnych. Tyle że zamiast starych kartonów są tam dane osobowe. Im dłużej firma je trzyma, tym większe ryzyko. Dane mogą wyciec. Może uzyskać do nich dostęp osoba, która już nie powinna ich widzieć. Mogą zostać wykorzystane do niewłaściwego celu. Mogą pojawić się w kopii zapasowej, której nikt nie kontroluje. Mogą zostać odnalezione dopiero wtedy, gdy klient, pracownik albo urząd zapyta, dlaczego firma nadal je ma.
Retencja danych to nie jest kasowanie dla samego kasowania. To zarządzanie cyklem życia informacji. Dane mają swój początek, cel, okres przydatności i koniec. Jeżeli firma nie kontroluje tego końca, zaczyna przechowywać dane na własne ryzyko.
Backupy. Największy argument i największa wymówka
Backupy są potrzebne. Bez kopii zapasowych firma naraża się na utratę danych, przestoje, cyberataki i chaos po awarii. Problem zaczyna się wtedy, gdy backup staje się miejscem wiecznej retencji. Dane usunięte z systemu nadal żyją w kopiach zapasowych. Stare bazy klientów, dawne konta pracowników, pliki z projektów, dokumenty HR, eksporty z CRM i archiwalne maile mogą być przechowywane latami, bo nikt nie ustalił, kiedy backup ma zostać nadpisany albo zniszczony.
To bardzo częsty błąd. Firma ma procedurę usuwania danych z systemu głównego, ale nie ma procedury dla kopii zapasowych. W praktyce oznacza to, że dane formalnie „usunięto”, ale technicznie nadal istnieją. Jeżeli dojdzie do naruszenia bezpieczeństwa albo konieczności odtworzenia danych, problem może wrócić.
Polityka retencji powinna obejmować backupy. Trzeba określić, jak długo są przechowywane, kto ma do nich dostęp, czy są szyfrowane, jak często są nadpisywane, co dzieje się z danymi po upływie okresu retencji i jak firma reaguje na żądanie usunięcia danych, które mogą znajdować się w kopii zapasowej. To nie musi oznaczać ręcznego kasowania pojedynczego rekordu z każdego backupu. Musi jednak oznaczać rozsądną, opisaną i bezpieczną procedurę.
Teams, Slack i komunikatory. Firmowa pamięć bez kontroli
Teams, Slack i inne komunikatory stały się codziennym miejscem pracy. Tam są ustalenia projektowe, dane klientów, pliki, screeny, linki, nagrania, dane osobowe pracowników, czasem informacje o zdrowiu, wynagrodzeniach, problemach kadrowych albo reklamacjach. W wielu firmach nikt jednak nie myśli o tych narzędziach jak o archiwum danych osobowych.
To błąd. Komunikator nie jest rozmową przy kawie. To system, w którym zostaje ślad. Jeżeli firma przechowuje historię wiadomości bez limitu, może po latach trzymać dane, które dawno straciły cel przetwarzania. Były pracownik nadal występuje w tysiącach wątków. Były klient nadal ma swoje dane w kanałach projektowych. Kandydat do pracy został omówiony w prywatnej grupie, która dalej istnieje. Pliki wrzucone do czatu krążą po organizacji, choć nikt ich już nie potrzebuje.
Polityka retencji powinna odpowiedzieć na kilka prostych pytań. Jak długo przechowujemy wiadomości? Jak długo przechowujemy pliki z komunikatorów? Co dzieje się z kanałami po zakończeniu projektu? Kto usuwa dane byłych pracowników? Czy prywatne czaty służbowe podlegają jakimś zasadom? Czy w komunikatorach wolno przesyłać dane wrażliwe? Czy rozmowy HR powinny odbywać się w takim narzędziu?
Bez tych zasad komunikator staje się czarną skrzynką firmy. Wszystko tam jest, ale nikt nie wie, co dokładnie.
HR. Dane kandydatów i pracowników nie są wieczne
Dział HR jest jednym z najbardziej wrażliwych obszarów retencji. Przetwarza dane kandydatów, pracowników, byłych pracowników, zleceniobiorców, stażystów, członków rodzin, dane o wynagrodzeniach, zwolnieniach, ocenach, benefitach, nieobecnościach, czasem dane zdrowotne i informacje o konfliktach. Tu zbyt długie przechowywanie może być szczególnie ryzykowne.
Najczęstszy problem dotyczy CV. Firma prowadzi rekrutację, otrzymuje dziesiątki albo setki aplikacji, wybiera jedną osobę, a reszta dokumentów zostaje w skrzynce, folderze, systemie ATS albo u menedżera, który brał udział w procesie. Po roku nikt nie pamięta, czy kandydat wyraził zgodę na przyszłe rekrutacje. Po dwóch latach dokumenty nadal są w systemie. Po trzech latach ktoś znajduje stare CV przy okazji migracji danych.
Podobne ryzyko dotyczy danych pracowników. Część dokumentów trzeba przechowywać przez okresy wynikające z prawa pracy, podatków i ubezpieczeń. Ale nie wszystko, co HR ma w folderach, trzeba trzymać tak samo długo. Notatki z rozmów, robocze oceny, stare ankiety, nieaktualne listy, kopie dokumentów, które nie są już potrzebne, powinny mieć własne zasady retencji.
Najbezpieczniejszy HR to taki, który rozróżnia kategorie danych. Inaczej przechowuje dokumentację pracowniczą, inaczej CV kandydata bez zgody na przyszłe rekrutacje, inaczej dane z procesu benefitowego, inaczej informacje o szkoleniach, a jeszcze inaczej robocze notatki menedżera.
Monitoring. Nagrania nie mogą leżeć bez końca
Monitoring wizyjny często działa według zasady: nagrywamy, bo tak jest bezpieczniej. Ale nagrania z monitoringu też są danymi osobowymi, jeśli pozwalają zidentyfikować osoby. Firma musi więc wiedzieć, po co nagrywa, gdzie kamery są ustawione, kto ma dostęp do nagrań, jak długo są przechowywane i kiedy są usuwane.
Największe ryzyko pojawia się wtedy, gdy monitoring obejmuje zbyt szeroki obszar albo nagrania są przechowywane zbyt długo. Kamera w miejscu pracy, wejściu do biura, magazynie, sklepie, recepcji, parkingu albo hali produkcyjnej może być uzasadniona bezpieczeństwem. Ale firma nie może traktować nagrań jak archiwum na wszelki wypadek bez określonego terminu.
W przypadku monitoringu ważna jest automatyzacja usuwania. Jeżeli system nadpisuje nagrania po określonym czasie, ryzyko jest mniejsze. Jeżeli ktoś ręcznie zgrywa nagrania na dysk, wysyła je mailem albo trzyma w folderze po incydencie, musi istnieć zasada, co dalej. Nagranie zabezpieczone do konkretnej sprawy może być przechowywane dłużej, ale tylko tak długo, jak jest potrzebne do jej wyjaśnienia lub dochodzenia roszczeń.
Dane klientów. Największa pokusa przechowywania „na przyszłość”
Dane klientów są dla firmy szczególnie cenne. Historia zakupów, reklamacje, korespondencja, umowy, faktury, preferencje, zgody marketingowe, zapytania ofertowe, konta użytkowników, koszyki, dane dostawy, programy lojalnościowe. Właśnie dlatego firmy bardzo często trzymają je zbyt długo.
Argumenty są zawsze podobne. Może klient wróci. Może trzeba będzie udowodnić wykonanie usługi. Może przyda się do marketingu. Może kiedyś zrobimy analizę. Może będzie spór. Problem w tym, że każde „może” powinno mieć granicę. Dane potrzebne do wykonania umowy mogą mieć inny okres retencji niż dane potrzebne do rozliczeń podatkowych, reklamacji, marketingu czy dochodzenia roszczeń.
Największy błąd to jeden wspólny worek pod nazwą „klienci”. W praktyce trzeba rozdzielić dane aktywnych klientów, byłych klientów, leadów, użytkowników newslettera, osób, które porzuciły koszyk, osób, które złożyły reklamację, i osób, które tylko wysłały zapytanie. Każda z tych kategorii może mieć inny cel i inny okres przechowywania.
Jeżeli klient wypisał się z newslettera, firma nie powinna dalej traktować jego danych jak aktywnej bazy marketingowej. Jeżeli konto klienta było nieaktywne od kilku lat, trzeba zadać pytanie, czy nadal istnieje powód, by przechowywać pełną historię. Jeżeli lead nigdy nie został klientem, nie można go trzymać bez końca tylko dlatego, że kiedyś wypełnił formularz.
Retencja dokumentów. Nie wszystko ma ten sam termin
Firmy często mylą retencję danych z archiwizacją dokumentów księgowych. Księgowość mówi: dokumenty podatkowe trzeba trzymać określony czas. To prawda. Ale nie oznacza to, że wszystkie dane osobowe w firmie można trzymać tak długo jak faktury. Nie oznacza też, że każdy plik, mail, kopia dokumentu, skan dowodu, notatka HR czy rozmowa z klientem ma automatycznie ten sam termin retencji.
Retencja dokumentów powinna wynikać z celu i podstawy prawnej. Inaczej przechowuje się faktury, inaczej umowy, inaczej dokumentację pracowniczą, inaczej dokumenty rekrutacyjne, inaczej reklamacje, inaczej nagrania z monitoringu, inaczej dane marketingowe i inaczej robocze pliki projektowe.
Problemem są szczególnie kopie. Firma ma oryginalny dokument w systemie, a dodatkowo jego kopię w mailu, skan na dysku, załącznik w Teamsach, eksport w Excelu i paczkę w backupie. Nawet jeśli główny dokument jest przechowywany zgodnie z prawem, kopie mogą krążyć bez kontroli. Polityka retencji powinna obejmować także takie techniczne i robocze wersje danych.
Dlaczego firmy przechowują dane zbyt długo?
Powody są zwykle prozaiczne. Nikt nie chce wziąć odpowiedzialności za usunięcie danych. Systemy nie mają automatycznych reguł. Działy pracują osobno. IT robi backupy, HR trzyma CV, sprzedaż eksportuje CRM, marketing buduje bazy, księgowość archiwizuje dokumenty, a zarząd zakłada, że „ktoś nad tym panuje”. Najczęściej nie panuje nikt.
Drugim powodem jest strach przed utratą dowodu. Firmy boją się, że jeśli usuną dane, nie będą mogły bronić się w sporze. To częściowo racjonalne. Dane potrzebne do roszczeń można przechowywać odpowiednio długo. Ale nie można z tego robić argumentu na wieczne archiwum. Trzeba określić, jakie roszczenia realnie mogą powstać, przez jaki czas i jakie dane są potrzebne do ich obrony.
Trzecim powodem jest wygoda. Łatwiej zostawić wszystko niż zaprojektować retencję. Tyle że ta wygoda może być bardzo droga, gdy dojdzie do kontroli albo wycieku.
Ryzyko kary zaczyna się od braku odpowiedzi
W kontroli albo po skardze osoby, której dane dotyczą, firma może zostać zapytana o proste rzeczy. Dlaczego nadal przechowujecie te dane? Jaki jest cel? Jaka jest podstawa prawna? Kiedy miały zostać usunięte? Kto odpowiada za usuwanie? Czy macie harmonogram retencji? Czy dane były w backupach? Czy osoba została poinformowana o okresie przechowywania?
Jeżeli firma nie ma odpowiedzi, zaczyna się problem. RODO nie wymaga, żeby każda firma miała identyczne terminy retencji. Wymaga jednak, żeby administrator potrafił uzasadnić swoje decyzje. Dane przechowywane „bo zawsze tak robiliśmy” albo „bo nie mamy procedury usuwania” wyglądają źle.
Ryzyko kary rośnie szczególnie wtedy, gdy zbyt długie przechowywanie danych łączy się z naruszeniem bezpieczeństwa. Jeżeli wycieknie stara baza klientów, której firma już nie potrzebowała, trudno będzie tłumaczyć, dlaczego w ogóle była przechowywana. Wtedy problemem nie jest tylko wyciek. Problemem jest również to, że dane nie powinny już być w firmie.
Polityka retencji danych. Co powinna zawierać?
Dobra polityka retencji nie musi być skomplikowanym dokumentem pisanym językiem prawniczym. Powinna być praktyczna. Musi pokazywać, jakie kategorie danych firma przetwarza, w jakim celu, na jakiej podstawie, przez jaki okres, kto za nie odpowiada i co dzieje się po upływie terminu.
Powinna obejmować dane klientów, HR, marketing, monitoring, komunikatory, backupy, systemy sprzedażowe, dokumenty księgowe, umowy, reklamacje, korespondencję, pliki projektowe i dane w chmurze. Powinna wskazywać, kiedy dane są usuwane, kiedy anonimizowane, kiedy archiwizowane, a kiedy zostają dłużej z powodu sporu, kontroli albo obowiązku prawnego.
Najważniejsze jest powiązanie polityki z realnymi systemami. Dokument nie wystarczy, jeśli Teams, Slack, CRM, skrzynki mailowe i backupy nadal przechowują wszystko bez ograniczeń. Retencja musi zejść z papieru do ustawień systemowych i codziennych nawyków.
Najprostszy audyt retencji
Firma może zacząć od prostego ćwiczenia. Gdzie mamy dane osobowe? Kto ma do nich dostęp? Jak długo je trzymamy? Czy wiemy, kiedy je usunąć? Czy system pozwala na automatyczne usuwanie? Czy dane są także w backupie? Czy mamy stare eksporty z CRM? Czy HR nadal ma CV sprzed kilku lat? Czy Teams i Slack mają nieskończoną historię? Czy nagrania z monitoringu nadpisują się automatycznie? Czy marketing trzyma nieaktywne leady?
To ćwiczenie szybko pokazuje, że problemem nie jest jedna wielka baza danych, ale setki małych miejsc, w których dane zostały po drodze. Właśnie dlatego retencja wymaga współpracy działów: IT, HR, sprzedaży, marketingu, księgowości, obsługi klienta i zarządu.
Mniej danych to mniej ryzyka
W biznesie przyjęło się myśleć, że więcej danych oznacza większą przewagę. Czasem tak jest. Ale w ochronie danych więcej danych oznacza też większą odpowiedzialność. Każdy niepotrzebny rekord to potencjalne ryzyko. Każdy stary folder to potencjalne naruszenie. Każda nieużywana baza to pytanie, dlaczego firma nadal ją trzyma.
Dobra retencja danych nie osłabia firmy. Wzmacnia ją. Zmniejsza chaos, ułatwia odpowiedzi na żądania klientów i pracowników, ogranicza skutki wycieku, porządkuje systemy i pokazuje, że organizacja poważnie traktuje compliance.
Firmy nie ryzykują dlatego, że mają dane. Ryzykują, bo nie wiedzą, co z nimi zrobić
Przechowywanie danych jest normalną częścią prowadzenia firmy. Problem zaczyna się wtedy, gdy dane żyją dłużej niż cel, dla którego zostały zebrane. Backupy, Teams, Slack, HR, monitoring, dane klientów i dokumenty firmowe nie mogą być cyfrowym składem wszystkiego. Muszą mieć zasady.
W 2026 roku polityka retencji danych nie jest już dodatkiem do RODO. Jest jednym z najważniejszych dowodów, że firma naprawdę panuje nad informacjami. Bo gdy przyjdzie pytanie z urzędu, skarga klienta albo incydent bezpieczeństwa, nie wystarczy powiedzieć: „mamy dane, bo tak wyszło”. Trzeba pokazać, że firma wie, po co je ma, jak długo może je mieć i kiedy powinna się ich pozbyć.
Najbezpieczniejsza organizacja to nie ta, która przechowuje wszystko. To ta, która potrafi odróżnić dane potrzebne od danych, które stały się tylko ryzykiem.
