Porządna retencja danych to jedna z najtrudniejszych części
RODO — bo wymaga realnego sprzątania, a nie tylko zapisów w polityce.
Poniżej dostajesz praktyczny, krok-po-kroku proces, który możesz wdrożyć
w każdej organizacji.
🧭 Jak zaplanować i
wykonać porządną retencję danych (praktycznie, po ludzku)
KROK 1: Zmapuj procesy i wskaż, jakie dane w ogóle
przechowujesz
Bez tego nie ruszysz.
Zrób listę:
- jakich
danych używasz (np. HR, rekrutacje, CRM, maile, newsletter, monitoring),
- gdzie
są przechowywane (systemy, dyski, skrzynki mailowe, archiwa),
- kto
ma do nich dostęp.
👉 Retencja jest zawsze na
poziomie procesu, nie „jednego dokumentu”.
KROK 2: Ustal podstawę prawną i sprawdź, czy prawo wymaga
konkretnego okresu
Przykłady:
- dokumentacja
pracownicza – 10 lub 50 lat (Kodeks pracy),
- dokumenty
księgowe – 6 lat (ordynacja podatkowa),
- dane
kandydatów – zwykle do momentu zakończenia rekrutacji, albo dłużej
przy zgodzie, ale nie dłużej niż rok,
- dane
klientów z umowy – czas trwania umowy + okres przedawnienia roszczeń.
👉 Często retencję narzuca
prawo, nie RODO.
KROK 3: Określ minimalny i maksymalny czas przechowywania
Podejdź do tego tak:
Jeżeli przepisy wyznaczają czas – stosujesz go.
Jeżeli nie – przyjmujesz okres adekwatny do celu, np.:
- leady
marketingowe – 12–24 miesięcy,
- maile
pracowników – np. 3 miesiące po odejściu,
- nagrania
z monitoringu – zwykle 14–30 dni ale nie dłużej niż 3 miesiące.
👉 RODO wymaga, aby dane
nie żyły „na zawsze”.
KROK 4: Ustal, co robisz z danymi po upływie
terminu
Masz cztery opcje:
- Usunięcie
– definitywny delete w systemie (nie zapomnij o nadpisaniu plików
przed usunięciem).
- Anonymizacja
– jeśli chcesz zachować statystyki.
- Archiwizacja
– ale tylko wtedy, gdy masz do tego podstawę prawną i logikę biznesową.
- Ograniczenie
przetwarzania – zamykasz dostęp, ale dane formalnie istnieją (np. na
potrzeby obrony roszczeń).
👉 Najczęściej: kasujesz
lub anonimizujesz.
KROK 5: Zaprojektuj retencję w systemach (automatyzacja!)
Najwięcej firm ma retencję „na papierze”, ale nie w
systemach.
Dlatego ustal:
- czy
CRM umie usuwać dane automatycznie,
- czy
skrzynki mailowe mają limity lub polityki usuwania,
- czy
katalogi mają struktury dat,
- czy
backupy nie trzymają danych w nieskończoność.
👉 Jeśli retencja nie jest
technicznie wdrożona, to jej nie ma.
KROK 6: Nadaj role i odpowiedzialności
Retencja nie działa, jeśli „wszyscy” są odpowiedzialni.
Ustal:
- kto
monitoruje terminy (np. inspektor/office manager/IT),
- kto
wykonuje usunięcia,
- kto
zatwierdza wyjątki.
👉 Brak ról = brak
retencji.
KROK 7: Dokumentacja
Nie chodzi o 80 stron, tylko o trzy rzeczy:
- Polityka
retencji – opis zasad i okresów.
- Wykaz
okresów retencji – tabela per proces (np.: RCzP→rejestr czynności
przetwarzania).
- Protokół
usunięć – krótkie logi „co, kto,
kiedy, dlaczego usunięto”.
👉 Dokumentacja ma
odzwierciedlać praktykę, a nie odwrotnie.
KROK 8: Regularne przeglądy
Najlepiej raz w roku:
- sprawdzasz,
czy okresy nadal mają sens,
- czy
systemy faktycznie kasują dane,
- czy
pojawiły się nowe procesy wymagające retencji,
- czy
pracownicy nie archiwizują „na wszelki wypadek”.
👉 Retencja to proces,
nie jednorazowy projekt.
🎯 Podsumowanie — Porządna
retencja to:
1) wiedzieć, jakie dane masz
2) znać ich podstawę prawną
3) ustalić realny okres przechowywania
4) wdrożyć to w systemach
5) regularnie sprawdzać
Prosto i bez magii.
Brak komentarzy:
Prześlij komentarz