Rejestr naruszeń RODO – jak długo go przechowywać? To pytanie pojawia się bardzo często przy audytach i wdrożeniach, zwłaszcza wtedy, gdy organizacja zaczyna realnie dokumentować incydenty, a nie tylko je „rozwiązywać na bieżąco”.
RODO nie wskazuje wprost konkretnego terminu przechowywania rejestru naruszeń. To oznacza, że czas retencji trzeba ustalić w oparciu o zasadę rozliczalności i ograniczenia przechowywania, a nie według sztywnego wzorca. Kluczowe jest to, aby administrator był w stanie wykazać, że prowadzi rejestr naruszeń w sposób rzetelny i adekwatny do ryzyka.
Z mojego doświadczenia wynika, że rejestr naruszeń powinien być przechowywany co najmniej tak długo, jak długo istnieje możliwość weryfikacji decyzji administratora przez organ nadzorczy. W praktyce oznacza to kilka lat, a nie miesiące. Rejestr pełni bowiem funkcję dowodową. Pokazuje, jak administrator oceniał ryzyko, jakie decyzje podejmował i czy reagował w sposób świadomy.
Dodatkowo warto pamiętać, że informacje zawarte w rejestrze naruszeń mogą mieć znaczenie w innych postępowaniach, na przykład przy skardze osoby, której dane dotyczą, albo w sporze cywilnym. Zbyt szybkie usunięcie rejestru może pozbawić administratora możliwości obrony swoich decyzji.
W praktyce najbezpieczniejszym podejściem jest powiązanie okresu przechowywania rejestru naruszeń z ogólnymi terminami przedawnienia roszczeń lub z przyjętą polityką retencji dokumentacji RODO. Ważne jest jednak jedno. Okres przechowywania powinien być świadomie ustalony i opisany w dokumentacji, a nie pozostawiony przypadkowi.
Spis treści
Czy RODO określa czas przechowywania rejestru naruszeń?
Nie, RODO nie wskazuje konkretnego okresu retencji dla rejestru naruszeń ochrony danych osobowych ani dla dokumentacji towarzyszącej takim incydentom.
Art. 33 ust. 4 RODO mówi jedynie:
„Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, obejmujące okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze.”
Jednocześnie art. 5 ust. 1 lit. e RODO nakłada obowiązek ograniczenia przechowywania danych:
„Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”.
Administrator musi samodzielnie określić okres przechowywania, kierując się celem, jakim jest m.in. możliwość rozliczenia się z obowiązków wobec Prezesa UODO.
Po co przechowujemy dokumentację naruszenia?
Rejestr naruszeń oraz dokumentacja dowodowa (takie jak raporty, logi systemowe, zrzuty ekranów, analiza ryzyka) są przechowywane głównie po to, by:
- wykazać, że administrator wywiązał się z obowiązku dokumentacji (art. 33 ust. 4 RODO),
- mieć podstawę do obrony w postępowaniu kontrolnym lub spornym,
- wyciągać wnioski na potrzeby zarządzania ryzykiem i prewencji w przyszłości,
- ewentualnie – wykazać brak winy lub niskie ryzyko w przypadku roszczeń cywilnych.
Bez tej dokumentacji niemożliwe byłoby udowodnienie, że reakcja na incydent była prawidłowa.
Potrzebujesz pomocy z naruszeniem ochrony danych?
Pamiętaj, że każde naruszenie ochrony danych powinno zostać ocenione, odpowiednio udokumentowane i w razie potrzeby zgłoszone. Jeżeli masz wątpliwości co do dalszych kroków, sprawdź, jak wygląda prawidłowa procedura – kliknij tutaj i skorzystaj z naszej pomocy.
Jak długo można przechowywać rejestr i dokumenty dowodowe?
Skoro RODO nie narzuca sztywnego okresu przechowywania, kluczowe znaczenie ma tzw. prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).
Póki taki interes istnieje — np. w postaci ryzyka kontroli, dochodzenia roszczeń, konieczności analizy incydentu — administrator ma podstawę do przechowywania dokumentacji.
W praktyce:
- dla podmiotów publicznych przyjmuje się oznaczenie archiwalne B-10 (czyli 10 lat),
- w sektorze prywatnym przyjęcie 10-letniego okresu retencji również jest uzasadnione, zwłaszcza biorąc pod uwagę: potencjalne przedawnienie roszczeń (w tym niemajątkowych) i zasady dochodzenia roszczeń z tytułu naruszenia dóbr osobistych (np. art. 24 KC).
Dlaczego warto przyjąć okres 10 lat?
Z perspektywy zgodności z RODO i praktyki organu nadzorczego, 10-letni okres:
- daje poczucie bezpieczeństwa w razie kontroli UODO (który nie ma określonego „horyzontu czasowego” działań),
- zabezpiecza interes administratora w przypadku sporów z osobami, których dane dotyczą,
- odpowiada retencji typowej dla dokumentacji kadrowej i księgowej, co ułatwia ujednolicenie polityki retencji.
Co z dokumentacją po tym okresie?
Po upływie 10 lat warto zastosować anonimizację dokumentacji – szczególnie, jeśli:
- informacje są przydatne statystycznie lub analitycznie (np. analiza typów incydentów),
- chcemy wykorzystać je do celów wewnętrznych audytów lub szkoleń.
Wówczas można przechowywać rejestr lub fragmenty dokumentacji w formie niepozwalającej na identyfikację osoby fizycznej – co formalnie wyłącza takie dane spod obowiązków RODO.
Podsumowanie i rekomendacje
Choć RODO nie precyzuje czasu przechowywania rejestru naruszeń, administrator danych nie może tego tematu zignorować. Musi przyjąć realistyczny, uzasadniony i możliwy do obrony okres przechowywania dokumentacji incydentów.
Rekomendowane podejście:
- 10 lat od zakończenia roku, w którym doszło do naruszenia,
- dokumentacja powinna być przechowywana w sposób uporządkowany i dostępny na potrzeby kontroli,
- po tym czasie – anonimizacja lub usunięcie,
- warto ująć okresy w polityce retencji danych osobowych.
