Każde przedsiębiorstwo ma na co dzień do czynienia z dużą ilością dokumentacji. Jest ona nieodłączną częścią prowadzenia jakiejkolwiek działalności. Korespondencja, dokumenty, sprawozdania, raporty, faktury, umowy, protokoły, regulaminy, rejestry, akta, uchwały zarządu, nośniki elektroniczne i wiele innych – to wszystko musi być przechowywane w sposób kompletny i uporządkowany według jasno określonych kryteriów, aby zapewnić stałą kontrolę nad przepływem dokumentów wewnątrz przedsiębiorstwa. Dodatkowo, wspomniana dokumentacja powinna być przechowywana w taki sposób, by każdy uprawniony, w razie potrzeby mógł, bez większego problemu się z nią zapoznać . Konieczne jest więc stworzenie w przedsiębiorstwie tzw. ładu dokumentacyjnego.
Ład dokumentacyjny jest w dużej części regulowany odpowiednimi przepisami, jednakże w części zależy także od aktualnych potrzeb zarządzania przedsiębiorstwem. Do przepisów regulujących tę tematykę zaliczyć należy m. in. ordynację podatkową, ustawę o rachunkowości, prawo budowlane, ustawę o narodowym zasobie archiwalnym i archiwach oraz wiele innych przepisów odnoszących się do koncesji, zezwoleń, ubezpieczeń społecznych czy kwestii pracowniczych. Niemal każda nowa ustawa czy rozporządzenie wprowadza kolejne wymogi związane z tworzeniem, zabezpieczeniem i przechowywaniem dokumentów. Każde przedsiębiorstwo może dodatkowo kształtować ład dokumentacyjny w sposób, jaki najlepiej pasuje do jego potrzeb. Może to czynić za pomocą wewnętrznych regulacji takich jak np. instrukcje czy regulaminy.
Ponadto różne rodzaje dokumentacji podlegają zróżnicowanym okresom przechowywania. Dla przykładu, ustawa o narodowym zasobie archiwalnym i archiwach przewiduje wieczyste przechowywanie materiałów stanowiących narodowy zasób archiwalny. W odniesieniu do dokumentacji niearchiwalnej okresy przechowywania określone są w ustawach szczegółowych i zależą od rodzaju i przeznaczenia danego dokumentu.
Ze względu na rozległość problematyki wskażę jedynie klika przykładów ukazujących różnorodność podejścia w zakresie przechowywania dokumentacji.
W odniesieniu do dokumentów korporacyjnych – spółka oraz jej nabywca (następca prawny) są obowiązani przechowywać księgi i dokumenty Spółki w sposób nieprzerwany w całym okresie istnienia Spółki oraz po jej rozwiązaniu.
Dokumenty korporacyjne obejmują w szczególności:
- umowę spółki i jej zmiany;
- protokoły ze zgromadzeń wspólników i uchwał wspólników;
- protokoły z posiedzeń zarządu i uchwał zarządu;
- protokoły z posiedzeń rady nadzorczej i uchwał rady nadzorczej;
- księgi protokołów i zgromadzeń;
- akta struktury organizacyjnej;
- inne dokumenty związane ze sprawami korporacyjnymi.
Odnośnie dokumentów związanych z ubezpieczeniem społecznym płatnik składek ubezpieczeniowych jest zobowiązany przechowywać kopie wszelkich deklaracji rozliczeniowych i imiennych raportów miesięcznych oraz dokumentów korygujących te dokumenty przez okres 5 lat od dnia ich przekazania do wskazanej jednostki organizacyjnej Zakładu Ubezpieczeń Społecznych. Płatnik składek jest zobowiązany przechowywać listy płac, karty wynagrodzeń albo inne dowody, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty, przez okres 50 lat od dnia zakończenia przez ubezpieczonego pracy u danego płatnika.
Spośród dokumentów księgowych należy przechowywać stale zatwierdzone roczne sprawozdania finansowe. W odniesieniu natomiast do poszczególnych zbiorów wprowadzono zróżnicowane okresy przechowywania w większości przypadków co najmniej 5 letnie np. dla ksiąg rachunkowych czy dowodów księgowych dotyczących rozpoczętych wieloletnich inwestycji, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym – obowiązuje okres 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Najkrótsze okresy przechowywania spośród dokumentów księgowych przewidziano dla rękojmi i reklamacji – 1 rok po terminie upływu rękojmi lub rozliczeniu reklamacji. Okresy przechowywania określone powyżej biegną od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą. Wymogi powyższe dotyczą zarówno dokumentacji prowadzonej w formie papierowej jak i elektronicznej.
Jeśli chodzi o dokumenty podatkowe spółka jako płatnik, jest obowiązana przechowywać dokumenty podatkowe do czasu upływu okresu przedawnienia zobowiązań podatkowych. Odnosi się to zarówno do ksiąg podatkowych i dokumentów związanych z ich prowadzeniem jak i kopii wystawionych rachunków, faktur VAT, faktur korygujących i oryginałów otrzymanych rachunków, faktur VAT, faktur korygujących jak również ich duplikatów. Także ewidencja prowadzona dla celów rozliczania podatku VAT oraz wszystkie inne dokumenty związane z tym rozliczaniem powinny być przechowywane do czasu upływu terminu przedawnienia zobowiązania podatkowego. Termin przedawnienia dla ogólnych zobowiązań podatkowych wynosi 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Ponieważ jednak przepisy Ordynacji podatkowej przewidują możliwość zawieszenia biegu terminów przedawnienia lub przerwania tego biegu (nawet wielokrotnie), najbezpieczniej jest przechowywać w/w dokumenty przez okres 10 lat, licząc od końca roku podatkowego, którego dotyczą. Po 10-letnim okresie przechowywania, przed zniszczeniem dokumentacji, należy wcześniej zbadać, czy rzeczywiście nastąpiło przedawnienie zobowiązania podatkowego z roku podatkowego, którego dotyczą dane dokumenty oraz księgi. Dokumenty oraz księgi prowadzone według przepisów ustawy o rachunkowości oraz jednocześnie według przepisów podatkowych powinny być przechowywane przez dłuższy okres, tak aby nie naruszać przepisów Ordynacji podatkowej (tj. przez okres 10 lat). Dokumentacja celna powinna być przechowywana prze okres 5 lat, licząc od końca roku zakończenia odpowiedniej procedury celnej.
Jeszcze raz podkreślenia wymaga przykładowy charakter przywołanych okresów przechowywania. Przedsiębiorca może mieć pewność prawidłowości działań dopiero po uwzględnieniu wszystkich rodzajów dokumentacji.
Często w praktyce pojawia się jednak problem stosowania odpowiednich przepisów, gdy z jednej strony przepisy prawa nakazują usunięcie danych, a z drugiej konieczne jest ich przechowywanie. Przykładem może być zakończenie świadczenia usługi w internecie przez portal. Usługobiorca/użytkownik może zwrócić się wówczas do usługodawcy z żądaniem usunięcia swoich danych osobowych. W takim przypadku dane te zgodnie z obowiązującymi przepisami o ochronie danych osobowych powinny zostać przez usługodawcę usunięte lub zanonimizowane. Jednym z pytań, które może się wówczas pojawić jest: czy obowiązek usunięcia danych obejmuje także sporządzone backup-y oraz archiwalne kopie zapasowe (np. spakowane zrzuty baz danych, służące do archiwizacji, jak też kopie baz danych wykonane na wypadek wystąpienia awarii) lub loga systemowe, w których mogą być zapisywane takie dane osobowe (np. historia zmian wykonana przez administratorów lub użytkowników).
Zgodnie z ustawą o ochronie danych osobowych (u.o.d.o.) przez usunięcie danych rozumie się zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Przepisy dotyczące ochrony danych osobowych nie różnicują danych osobowych z uwagi na to czy ich przetwarzanie, w tym przechowywanie następuje za pomocą narzędzi informatycznych, umożliwiających bezpośrednie i natychmiastowe przetwarzanie i dostęp do danych, czy w ramach sporządzanych backup-ów, kopii zapasowych czy log systemowych. U.o.d.o. ma zastosowanie do przetwarzania danych osobowych zarówno w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, jak też w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Przetwarzanie danych obejmuje zgodnie z brzmieniem u.o.d.o. jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, przez które należy rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Zatem wykonywanie i tworzenie backup-ów, kopii zapasowych czy log systemowych stanowić będzie przetwarzanie danych osobowych w systemie informatycznym. Użytkownicy zawierając faktycznie umowy, obejmujące świadczenie usług za pośrednictwem portalu akceptują również postanowienia regulaminu portalu. W konsekwencji przetwarzane są zarówno dane osobowe niezbędne do realizacji i wykonania umów, jak i inne dane, odnośnie których Użytkownicy wyrażają zgodę na ich przetwarzanie. Dane osobowe związane z zawartymi umowami mogą być i są w dużej mierze niezbędne usługodawcy także po zakończeniu procesu świadczenia usług na podstawie zawieranych umów. Mogą być w szczególności konieczne w zakresie dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej, jak też dokumentacji przychodów i kosztów ich uzyskania.
Zachowanie określonych, podstawowych, danych osobowych może być również usługodawcy potrzebne dla usunięcia danych, zgodnie z żądaniem użytkownika, a nadto dla wykazania, że usługi były świadczone zgodnie z prawem i przetwarzanie danych osobowych, w ramach realizacji usług, również spełniało ustawowe wymogi. Przechowywanie tych danych mogłoby mieć w takim przypadku również miejsce w ramach sporządzonych backup-ów, kopii zapasowych czy log systemowych. Przedsiębiorca będący administratorem danych – przetwarzający dane, ma obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a przede wszystkim jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Użytkownikom z kolei zgodnie z u.o.d.o. przysługuje w szczególności prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.
Przedsiębiorca musi więc całościowo brać pod uwagę rozwiązania prawne a nie realizować określone odseparowane obowiązki, bez uwzględniania pozostałych. W przytoczonym przypadku jest uprawniony do przechowywania, również w ramach sporządzonych backup-ów, kopii zapasowych czy log systemowych, także po zakończeniu świadczenia usług i otrzymania żądania usunięcia danych od użytkownika, tych danych, które są mu nadal niezbędne, w szczególności w zakresie dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej, jak też dokumentacji przychodów i kosztów ich uzyskania, dla usunięcia samych danych, zgodnie z żądaniem użytkownika, a nadto dla wykazania, że usługi były świadczone zgodnie z prawem i przetwarzanie danych osobowych, w ramach realizacji usług, również spełniało ustawowe wymogi. Dane, o których mowa, mogą obejmować w szczególności imiona, nazwiska i adresy, a także inne dane objęte treścią wystawionych faktur, informacje o wysokości należnych opłat, za świadczenie usług oraz terminach, kiedy zostały lub miały zostać uiszczone oraz sposobie w jaki to nastąpiło, okresie, na który została zawarta umowa, sposobie, w jaki doszło do jej wygaśnięcia i zakresie świadczonych usług oraz tego w jaki sposób były udostępniane, jaki był ich zakres oraz na jakiej podstawie były one udostępniane i przetwarzane, w szczególności kto i w jaki sposób wyraził zgodę na przetwarzanie danych osobowych. Inne dane powinny zostać w przypadku żądania użytkownika niezwłocznie usunięte.
Zróżnicowanie regulacji prawnych w zakresie postepowania z dokumentami i zawartymi w nich danymi oraz potrzebę zapewnienia zgodności wewnętrznych procedur z tymi regulacjami powoduje konieczność przyjęcia przez przedsiębiorcę własnych dodatkowych przepisów regulujących tę problematykę. Przygotowane rozwiązania powinny uwzględniać wyniki oceny zgodności stosowanych rozwiązań, w tym informatycznych z obowiązującymi przepisami, analizę i ocenę ryzyka prawnego, w tym związanego z przyjętymi i stosowanymi rozwiązaniami informatycznymi oraz wynikającymi z tego zagrożeniami. Jeśli chodzi o adresatów – w pierwszym rzędzie powinny zawierać instrukcję dla pracowników określającą obowiązek i sposób rejestracji przychodzących i wychodzących dokumentów, sposób segregowania i oznaczania dokumentacji. Opracowane zasady powinny w jednym systemie umożliwiać współfunkcjonowanie rozwiązań prawnych, organizacyjnych i systemowych, wpływając na zminimalizowanie ryzyka prawnego, w tym uniknięcia w przyszłości niekorzystnych następstw nieznajomości obowiązujących procedur związanych z ewentualnym zaginięciem dokumentów oraz sankcjami za ich zniszczenie przed terminem.