Archiwizacja danych w firmie – polityka retencji krok po kroku

Czym różni się archiwizacja od backupu?

Wiele firm myli te dwa pojęcia, traktując backup jako formę archiwizacji. To błąd, który może mieć poważne konsekwencje prawne i operacyjne.

• Backup (kopia zapasowa) służy do szybkiego odtworzenia danych po awarii. Przechowuje aktualny stan plików i jest regularnie nadpisywany nowszymi wersjami. Jego celem jest ciągłość działania firmy.
• Archiwizacja służy do długoterminowego przechowywania danych, które nie są już aktywnie używane, ale muszą być dostępne ze względów prawnych, audytowych lub biznesowych. Archiwum nie jest nadpisywane – raz zapisany dokument pozostaje niezmieniony przez cały okres retencji.

Praktyczny przykład: faktura wystawiona 5 lat temu nie musi znajdować się w bieżącym backupie, ale musi być zarchiwizowana zgodnie z przepisami podatkowymi. Brak archiwizacji oznacza ryzyko poważnych konsekwencji podczas kontroli skarbowej lub audytu. Z kolei przechowywanie danych zbyt długo może naruszać RODO – właśnie dlatego potrzebujesz polityki retencji, która reguluje oba aspekty jednocześnie.

Dlaczego polityka retencji danych jest obowiązkowa?

Polityka retencji to dokument (lub zbiór reguł), który określa jakie dane przechowujesz, jak długo i w jakiej formie. To nie tylko dobra praktyka – w wielu przypadkach jest to wymóg prawny, którego niedopełnienie grozi sankcjami.

Firmy w Polsce są zobowiązane do przechowywania określonych danych przez konkretny czas:

• Dokumentacja księgowa i faktury – co najmniej 5 lat od końca roku podatkowego
• Dokumentacja pracownicza (umowy, listy płac) – 10 lat dla umów zawartych po 2019 roku
• Korespondencja handlowa – zazwyczaj 5–10 lat, zależnie od branży i charakteru dokumentów
• Dane osobowe (RODO) – tylko tak długo, jak jest to niezbędne do celu, w którym zostały zebrane

Z drugiej strony RODO nakłada też obowiązek usuwania danych, gdy przestają być potrzebne. Przechowywanie ich zbyt długo to również naruszenie przepisów. Bez formalnej polityki retencji firma nie wie, kiedy usuwać, a kiedy zachowywać – i naraża się na ryzyko z obu stron jednocześnie.

Jakie dane archiwizować i jak długo?

Każda firma powinna sporządzić własną listę kategorii danych z przypisanym czasem retencji. Poniżej znajdziesz punkt wyjścia dla typowej firmy MŚP działającej w Polsce:

1. Faktury i dokumenty finansowe – 5 lat (podatek VAT), nawet do 10 lat przy rozliczeniach wieloletnich lub inwestycjach
2. Umowy z kontrahentami – przez cały okres obowiązywania umowy plus 3–5 lat po jej wygaśnięciu (ze względu na ewentualne roszczenia cywilnoprawne)
3. Dokumentacja pracownicza – 10 lat (akta osobowe, listy płac, ewidencja czasu pracy)
4. Korespondencja e-mail – zazwyczaj 3–5 lat, zależnie od charakteru wiadomości (handlowa, projektowa, reklamacyjna)
5. Dane klientów (CRM, zamówienia) – zgodnie z RODO: przez czas trwania relacji biznesowej plus czas przedawnienia roszczeń (do 6 lat)
6. Logi systemowe i bezpieczeństwa – minimum 1 rok, w branżach regulowanych nawet 5 lat (wymogi NIS2)

Dokładne okresy warto skonsultować z radcą prawnym lub biurem rachunkowym, szczególnie jeśli działasz w branży regulowanej, takiej jak finanse, opieka zdrowotna czy administracja.

Narzędzia do archiwizacji danych w małej firmie

Wybór narzędzia zależy od ilości danych, budżetu i wymagań bezpieczeństwa. Oto przegląd najpopularniejszych opcji dla firm MŚP:

• Microsoft 365 – Compliance Center: jeśli korzystasz już z M365, masz wbudowane narzędzia retencji dla Exchange Online, SharePoint i Teams. Zasady retencji konfigurujesz w portalu Purview Compliance. Koszt jest wliczony w plan M365 Business Premium – warto z tego korzystać.
• Azure Blob Storage (warstwa Archive): idealne do długoterminowego przechowywania dużych wolumenów danych. Koszt archiwizacji jest bardzo niski (ułamki grosza za GB miesięcznie), choć odczyt bywa droższy i wolniejszy – co jest akceptowalne dla rzadko używanych archiwów.
• Wasabi / Backblaze B2: tańsze alternatywy dla AWS S3, popularne wśród firm szukających prostego rozwiązania chmurowego bez opłat za ruch wychodzący.
• NAS z trybem WORM: macierz dyskowa skonfigurowana w trybie WORM (Write Once Read Many) zapewnia niezmienność danych lokalnie. Dobre rozwiązanie dla firm z wymogami compliance i potrzebą dostępu offline.
• Veeam / Acronis: jeśli korzystasz z tych narzędzi do backupu, możesz skonfigurować w nich osobne zadania archiwizacji z długą retencją i polityką niezmienności.

Niezależnie od wyboru, dwa wymagania są absolutnie kluczowe: dane archiwalne muszą być niezmienne (niemożliwe do edycji ani usunięcia przed upływem okresu retencji) oraz zaszyfrowane.

Wdrożenie polityki retencji – krok po kroku

Oto praktyczny plan działania dla firmy MŚP, która chce wdrożyć archiwizację danych od podstaw:

1. Inwentaryzacja danych – zrób listę wszystkich kategorii danych w firmie: gdzie są przechowywane, kto ma do nich dostęp i jak są tworzone. Wystarczy arkusz kalkulacyjny lub proste narzędzie do mapowania danych.
2. Określenie okresów retencji – przypisz każdej kategorii czas przechowywania, bazując na przepisach i potrzebach biznesowych. Na tym etapie warto skonsultować się z prawnikiem i księgowym.
3. Wybór i konfiguracja narzędzi – wdróż wybrane rozwiązanie techniczne. Zadbaj o szyfrowanie, niezmienność danych i regularny test odczytu (archiwum bezużyteczne do odczytu to nie archiwum).
4. Automatyzacja – skonfiguruj reguły automatycznego przenoszenia danych do archiwum po określonym czasie. Przykład: faktury starsze niż 12 miesięcy trafiają automatycznie do warstwy Archive w Azure Blob Storage.
5. Dokumentacja i szkolenie – zapisz politykę retencji jako formalny dokument wewnętrzny. Przeszkol pracowników odpowiedzialnych za tworzenie i usuwanie danych firmowych.
6. Regularne audyty – raz w roku sprawdzaj, czy dane są archiwizowane zgodnie z polityką i czy nie przechowujesz ich dłużej niż wymagają przepisy.

Pamiętaj: sama polityka to dopiero połowa sukcesu. Musi być egzekwowana technicznie (automatyzacja, uprawnienia) i znana pracownikom (szkolenia, dokumentacja). Polityka, o której nikt nie wie, nie istnieje.

Archiwizacja a RODO – na co zwrócić szczególną uwagę?

RODO wprowadza zasadę ograniczenia przechowywania (storage limitation): dane osobowe można przechowywać tylko tak długo, jak jest to niezbędne do celu, dla którego zostały zebrane. Oznacza to, że archiwizacja danych osobowych wymaga szczególnie starannego podejścia.

Najważniejsze zasady RODO w kontekście archiwizacji:

• Minimalizacja okresu przechowywania: nie archiwizuj danych osobowych na wszelki wypadek. Każda kategoria musi mieć konkretne uzasadnienie i określony termin usunięcia.
• Pseudonimizacja archiwów: jeśli to możliwe, usuwaj lub zastępuj dane identyfikujące osobę w archiwach starszych danych, zachowując jedynie informacje biznesowo niezbędne.
• Prawo do usunięcia danych: polityka retencji musi uwzględniać procedurę obsługi wniosków o usunięcie danych (prawo do bycia zapomnianym), nawet gdy dane są w archiwum.
• Rejestr czynności przetwarzania: archiwizacja to czynność przetwarzania danych osobowych i musi znaleźć się w rejestrze prowadzonym przez Administratora Danych.

Niezgodność z RODO w zakresie retencji może skutkować karami od Prezesa UODO – w ostatnich latach nakładano je m.in. właśnie za zbyt długie przechowywanie danych osobowych. Warto zadbać o ten aspekt zanim do firmy trafi inspekcja, a nie po.

Jeśli potrzebujesz pomocy przy wdrożeniu archiwizacji lub polityki retencji, skontaktuj się z NovaSys – pomożemy dobrać narzędzia i wdrożyć je zgodnie z przepisami.