Cyfrowe „chomikowanie” pod lupą UODO. Dlaczego trzymanie danych na zapas to prosta droga do kary?

Wielu przedsiębiorców wychodzi z założenia, że „danych nigdy za wiele”. Wierzymy, że stare bazy mailowe, CV sprzed lat czy archiwalne numery telefonów klientów mogą się jeszcze przydać. W 2026 roku takie podejście to prosta droga do wysokich kar finansowych. Ostatnie decyzje Prezesa Urzędu Ochrony Danych Osobowych (UODO) pokazują, że organ ten przestał ograniczać się do pouczeń. Rok 2025 był rekordowy pod względem sumy nałożonych kar, która wyniosła aż 64 mln zł.

1. Rekordziści i konkretne przypadki

Aby zrozumieć skalę ryzyka, warto przyjrzeć się konkretnym decyzjom z ostatniego okresu:

Poczta Polska (marzec 2025): Kara 27 mln zł. To jedna z najgłośniejszych spraw, dotycząca pozyskania i przechowywania danych z rejestru PESEL (tzw. wybory kopertowe). UODO uznało, że dane były przetwarzane bez odpowiedniej podstawy prawnej i przechowywane nadmiarowo, co naruszyło prawa milionów obywateli.

ING Bank Śląski (lipiec 2025): Kara 18,4 mln zł. Bank został ukarany za rutynowe skanowanie dokumentów tożsamości klientów (np. dowodów osobistych) w sytuacjach, gdy nie było to niezbędne. To klasyczny przykład zbierania danych „na zapas”.

Toyota Bank Polska (grudzień 2024): Dwie kary o łącznej kwocie ponad 570 tys. zł. Wynikały one m.in. z uchybień w procesach retencji i zabezpieczania danych.

Santander Bank Polska (2024): Kara 1,44 mln zł. Choć sprawa dotyczyła głównie zgłaszania incydentów, UODO podkreśliło w niej wagę rozliczalności – jeśli przechowujesz dane, których już nie potrzebujesz, każdy wyciek obciąża Cię podwójnie.

2. Pułapka „wiecznych” baz danych

Przechowywanie danych osobowych dłużej, niż jest to konieczne, narusza zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO). Oto najczęstsze błędy:
1) niewłaściwa retencja w rekrutacji: przetrzymywanie CV osób, które nie dostały pracy, bez ich zgody na przyszłe procesy.
2) zapomniane bazy marketingowe: utrzymywanie kontaktów do osób, które od lat nie wykazują aktywności.
3) brak usuwania danych biometrycznych: w 2025 r. ukarano przedsiębiorcę gastronomicznego (kara ok. 19 tys. zł) za brak wyjaśnień w sprawie przetwarzania odcisków palców pracowników, co często wiąże się z ich zbyt długim przechowywaniem w systemach RCP.

Każdy administrator musi potrafić wykazać, dlaczego nadal przetwarza dane. Jeśli jedynym powodem jest „może się przyda”, kara jest niemal pewna.

3. Jak uniknąć kar w 2026 roku?

Zamiast ryzykować wysokie kary finansowe, warto zastosować proste kroki:
1) zdefiniować czasy retencji: stworzenie tabeli określającej, po jakim czasie usuwane będą faktury, dane rekrutacyjne  czy dane z monitoringu.
2) stosować „Privacy by Default”: systemy informatyczne powinny automatycznie anonimizować lub usuwać dane po upływie terminu ważności.
3) regularne czyścić archiwa: raz na kwartał „cyfrowe sprzątanie”. Usuwanie bazy, które nie generują konwersji i nie mają podstawy prawnej.

Podsumowanie

W 2026 roku dane osobowe to nie tylko kapitał, to przede wszystkim odpowiedzialność. Cyfrowa higiena i regularne „czyszczenie magazynów” z niepotrzebnych informacji to najtańsze i najskuteczniejsze ubezpieczenie przed kontrolą UODO.