Polityka archiwizacji dowodów w firmie IT: ile trzymać, w jakiej formie i jak przygotować eksport danych (Jira/Git/Slack) na potrzeby kontroli bez eskalowania ryzyk

16.05.2026

Polityka archiwizacji dowodów w firmie IT: ile trzymać, w jakiej formie i jak przygotować eksport danych (Jira/Git/Slack) na potrzeby kontroli bez eskalowania ryzyk

Polityka archiwizacji dowodów to wewnętrzny zestaw zasad, który określa, jakie dane i dokumenty firma utrwala, jak długo je przechowuje, w jakiej formie (oryginał, kopia, eksport), kto ma do nich dostęp oraz jak zapewnia ich integralność i możliwość przedstawienia organom w razie kontroli. W firmie IT „dowodem” bywa nie tylko umowa i faktura, ale też logi systemowe, historia zmian w repozytorium, zgłoszenia w Jira, korespondencja na Slacku czy ślad akceptacji w narzędziu HR.

Z perspektywy ryzyk biznesowych kluczowe są trzy obszary: (1) możliwość szybkiego i kompletnego udostępnienia materiału w toku postępowania, (2) kontrola nad zakresem ujawnienia, aby nie przekazać „przy okazji” danych nadmiarowych, oraz (3) spójność okresów retencji z obowiązkami podatkowymi, rachunkowymi, pracowniczymi i RODO. W praktyce polityka archiwizacji jest elementem compliance, który ogranicza koszty obsługi kontroli, ryzyko sankcji oraz ryzyko reputacyjne.

Dlaczego archiwizacja dowodów ma znaczenie przy kontroli i sporach

W realiach gospodarczych firmę rzadko ocenia się wyłącznie po deklaracjach. Organ może oczekiwać dowodów potwierdzających m.in. rzeczywisty przebieg transakcji, prawidłowość rozliczeń, status kontrahentów, a także to, kto i kiedy podjął decyzję. Brak dowodów lub ich chaotyczna archiwizacja zwykle nie kończy się neutralnie, bo:

  • wydłuża się czas reakcji na wezwania, co podnosi koszty i obciążenie zespołów,
  • rośnie ryzyko przekazania materiałów wykraczających poza zakres żądania,
  • pojawia się ryzyko zarzutów o nierzetelne prowadzenie ksiąg lub brak współpracy,
  • zarząd może zostać wciągnięty w eskalację organizacyjną i reputacyjną.

W przypadku postępowań podatkowych i celno-skarbowych dodatkowym czynnikiem jest tempo działania organów i formalne wymogi dotyczące udostępniania ksiąg oraz dowodów w postaci elektronicznej. Dlatego procedura eksportu danych z narzędzi IT powinna być zaplanowana zanim pojawi się kontrola celno-skarbowa.

Podstawy prawne: jak długo przechowywać i co to znaczy „dowód”

Okresy przechowywania wynikają z kilku reżimów prawnych, które w praktyce trzeba pogodzić:

  • Rachunkowość: ustawa o rachunkowości określa minimalne okresy przechowywania dowodów księgowych, ksiąg rachunkowych i sprawozdań finansowych (co do zasady 5 lat dla dowodów księgowych, liczone od początku roku następującego po roku obrotowym, którego dotyczą) [1].
  • Podatki: dokumenty powinny być przechowywane co najmniej do upływu terminu przedawnienia zobowiązania podatkowego (co do zasady 5 lat, licząc od końca roku, w którym upłynął termin płatności podatku) [2]. Należy uwzględniać, że bieg przedawnienia może ulec zawieszeniu (a w praktyce także przedłużeniu wskutek innych zdarzeń przewidzianych w Ordynacji podatkowej), co wydłuża realny okres ryzyka.
  • Postępowania i kontrole: Ordynacja podatkowa oraz ustawa o KAS przewidują obowiązki współdziałania, okazywania ksiąg i dowodów oraz możliwość żądania informacji w postaci elektronicznej [2][3].
  • RODO: dane osobowe nie mogą być przechowywane dłużej, niż jest to niezbędne do celów, w jakich są przetwarzane (zasada ograniczenia przechowywania), przy jednoczesnym obowiązku rozliczalności [4].

Wniosek praktyczny: jedna „sztywna” retencja dla wszystkich narzędzi IT jest zwykle błędem. W firmie IT retencja powinna być opisana per kategoria danych i per cel (księgowy, podatkowy, dowodowy, bezpieczeństwa, HR), z jasnym mechanizmem legal hold (wstrzymania kasowania) na czas sporu, audytu lub kontroli.

Minimalny standard polityki archiwizacji dowodów w firmie IT

Dokument przyjęty uchwałą zarządu lub jako polityka compliance powinien obejmować co najmniej:

  1. Mapę źródeł dowodowych: gdzie powstają dowody (ERP/księgowość, Jira, Git, Slack, e-mail, systemy CI/CD, HR, IAM, helpdesk), kto jest właścicielem systemu i kto zatwierdza eksport.
  2. Klasy danych: finansowe, podatkowe, handlowe, projektowe, HR, bezpieczeństwa, dane osobowe, tajemnica przedsiębiorstwa.
  3. Retencję: minimalny czas przechowywania, zasady archiwizacji i kasowania, oraz kryteria wydłużenia (np. spór, reklamacja, postępowanie).
  4. Integralność i audytowalność: logowanie dostępu, wersjonowanie, niezmienność archiwum (WORM lub mechanizmy równoważne), sumy kontrolne, ścieżka dowodowa.
  5. Procedurę eksportu: formaty, zakres, maskowanie danych, weryfikacja kompletności i protokół przekazania.
  6. Role: kto odpowiada za przygotowanie materiału (IT), selekcję i ocenę ryzyk (prawny/compliance), decyzję o ujawnieniu (zarząd), oraz kontakt z organem.

Eksport danych z Jira, Git i Slack: jak przygotować materiał bez eskalowania ryzyk

Jira: zgłoszenia, workflow, komentarze i załączniki

Jira często dokumentuje realny przebieg projektu: daty, osoby, akceptacje, zakres prac. To bywa dowodem w sporach oraz weryfikacji świadczeń. Ryzykiem jest nadmiar informacji (np. wątki niezwiązane, dane osobowe, wewnętrzne oceny). Minimalny standard eksportu obejmuje:

  • zdefiniowanie filtrów (projekt, zakres dat, typ issue, status),
  • eksport do formatu umożliwiającego odczyt i weryfikację (np. CSV/JSON oraz załączniki),
  • zachowanie metadanych (autor, czas, historia zmian) — o ile jest to technicznie dostępne w danym trybie eksportu,
  • oddzielne potraktowanie załączników i linków zewnętrznych (np. do dysków),
  • przegląd pod kątem danych wrażliwych i tajemnicy przedsiębiorstwa przed przekazaniem.

Git: commity, branche, tagi, pull requesty

Repozytorium bywa dowodem na to, czy i kiedy wykonano prace. Jednocześnie może ujawniać know-how, klucze, tokeny, dane testowe lub elementy licencyjnie problematyczne. Bezpieczniejsze jest przygotowanie wycinka repozytorium ograniczonego do relewantnego zakresu (commit range, tag release) zamiast pełnego dumpu. Dobre praktyki obejmują:

  • eksport historii zmian wraz z hashami commitów i podpisami (jeżeli stosowane),
  • zachowanie plików konfiguracyjnych tylko w niezbędnym zakresie,
  • automatyczne skanowanie pod kątem sekretów (secret scanning) przed przekazaniem,
  • udokumentowanie procesu: kto wykonał eksport, kiedy, z jakiego źródła, jakich narzędzi użyto.

Slack: wiadomości, kanały, pliki

Slack jest szczególnie ryzykowny dowodowo, bo miesza komunikację operacyjną, HR i wątki prywatne. Dla celów postępowań należy dążyć do precyzyjnego zakresu: konkretne kanały, daty i uczestnicy. W polityce warto rozdzielić:

  • kanały projektowe (potencjalnie dowodowe),
  • kanały HR i „social” (wysokie ryzyko RODO i reputacyjne),
  • DM-y (szczególnie wrażliwe i zwykle nieadekwatne do żądań ogólnych).

W każdym przypadku eksport powinien być poprzedzony oceną adekwatności i podstawy żądania, a przekazanie materiału powinno zostać ujęte w protokole (zakres, nośnik, format, suma kontrolna, osoba odpowiedzialna).

Trzy wyjątki, które powinny być wpisane w politykę (dokładnie i bez skrótów)

Polityka archiwizacji powinna zawierać trzy wyjątki, które ograniczają ryzyko automatyzmów i przypadkowego naruszenia prawa:

  1. Wyjątek 1: Legal hold – jeżeli firma poweźmie informację o sporze, roszczeniu, kontroli lub postępowaniu, automatyczne kasowanie danych i rotacja logów muszą zostać wstrzymane w zakresie potencjalnie istotnym dowodowo, do czasu zakończenia sprawy.
  2. Wyjątek 2: Ograniczenie RODO – jeżeli dalsze przechowywanie danych osobowych nie ma podstawy prawnej albo wykracza poza niezbędny cel, dane należy usunąć lub zanonimizować, chyba że zachodzi obowiązek prawny przechowywania lub niezbędność do ustalenia, dochodzenia lub obrony roszczeń.
  3. Wyjątek 3: Tajemnica przedsiębiorstwa i minimalizacja ujawnienia – w razie żądania udostępnienia danych eksport powinien być ograniczony do zakresu niezbędnego, a informacje stanowiące tajemnicę przedsiębiorstwa powinny być oznaczone, a sposób udostępnienia dobrany tak, aby ograniczyć ryzyko niekontrolowanego rozpowszechnienia.

Odpowiedzialność zarządu i ryzyka: gdzie najczęściej dochodzi do eskalacji

Ryzyka nie kończą się na braku plików. Najczęstsze punkty zapalne to: niejednolite wersje dokumentów (kilka „prawd”), przekazanie zbyt szerokiego eksportu, ujawnienie danych osobowych bez podstawy, oraz brak ścieżki dowodowej potwierdzającej integralność materiału. W zależności od stanu faktycznego konsekwencje mogą obejmować spory podatkowe, sankcje administracyjne, odpowiedzialność za naruszenia RODO, a w skrajnych sytuacjach ryzyka karne skarbowe. To obszar, w którym decyzje operacyjne IT powinny być sprzęgnięte z decyzjami prawnymi i zarządczymi.

Jak wdrożyć politykę w praktyce: krótka lista działań

  1. Inwentaryzacja narzędzi i przepływów danych, w tym integracji (Jira-Git-Slack, e-mail, dyski).
  2. Macierz retencji per kategoria danych i cel, z przypisaniem właścicieli.
  3. Procedura legal hold oraz procedura eksportu z checklistą: zakres, format, metadane, weryfikacja, protokół.
  4. Uprawnienia i zasada need-to-know, rejestrowanie dostępu do archiwów.
  5. Test eksportu „na sucho” raz na kwartał i korekty po incydentach.

Materiał ma charakter informacyjny i nie stanowi porady prawnej; w razie planowanej lub trwającej kontroli zakres retencji i eksportu powinien zostać dostosowany do konkretnego stanu faktycznego oraz treści żądań organu, a w razie potrzeby analiza może zostać przeprowadzona przez Kopeć & Zaborowski (KKZ) – w tym celu najlepiej Skontaktuj się z nami.

FAQ: polityka archiwizacji dowodów w firmie IT

Czy firma musi archiwizować dane z Jira/Git/Slack, skoro „to nie są dokumenty księgowe”?

Nie zawsze, ale często warto. Jeżeli dane potwierdzają wykonanie usług, akceptacje, zakres prac lub komunikację istotną dla rozliczeń, mogą stać się dowodem w sporze lub w postępowaniu. Polityka powinna wskazywać, które projekty i kategorie danych są dowodowe.

Ile lat przechowywać dane na potrzeby podatków?

Co do zasady do upływu terminu przedawnienia zobowiązania podatkowego (zwykle 5 lat od końca roku, w którym upłynął termin płatności) [2]. W konkretnych sprawach okres ten może się wydłużyć, np. wskutek zawieszenia biegu przedawnienia w przypadkach przewidzianych w Ordynacji podatkowej.

Czy eksport z Slacka powinien obejmować wiadomości prywatne (DM)?

Zwykle nie powinien być domyślny. DM-y wiążą się z podwyższonym ryzykiem naruszenia prywatności i RODO. Zakres ujawnienia powinien być oceniany pod kątem adekwatności do żądania i celu postępowania.

Jak wykazać integralność eksportu (że „nie był grzebany”)?

Pomaga protokół eksportu, sumy kontrolne (hash), niezmienialne archiwum (WORM) oraz rejestr osób mających dostęp. Warto utrzymywać powtarzalny proces i checklistę, żeby ograniczyć błędy ludzkie.

Co zrobić, gdy polityka retencji przewiduje kasowanie, ale pojawia się ryzyko sporu?

Należy uruchomić legal hold, czyli wstrzymać kasowanie w zakresie potencjalnie dowodowym do czasu wyjaśnienia sprawy. To powinno działać szybko i być możliwe do wykonania technicznie w każdym kluczowym systemie.

Czy RODO pozwala trzymać dane „na wszelki wypadek”?

Nie. Zasada ograniczenia przechowywania wymaga, aby trzymać dane nie dłużej niż to konieczne dla celu. Dopuszczalne jest jednak dłuższe przechowywanie, gdy wynika to z obowiązku prawnego albo jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń [4].

Bibliografia

  1. [1] Ustawa z dnia 29 września 1994 r. o rachunkowości (t.j. Dz.U. z późn. zm.).
  2. [2] Ustawa z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (t.j. Dz.U. z późn. zm.).
  3. [3] Ustawa z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (t.j. Dz.U. z późn. zm.).
  4. [4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).

Potrzebujesz pomocy?

+48 508 333 000
WhatsApp Telegram Skype Viber Signal


Powiązane porady

Jak kontrola w IT weryfikuje „substancję” świadczenia usług: od sprzętu i dostępu do narzędzi, po realne zarządzanie projektem i decyzyjność

Czytaj więcej
Jak kontrola w IT weryfikuje „substancję” świadczenia usług: od sprzętu i dostępu do narzędzi, po realne zarządzanie projektem i decyzyjność

JDG + sp. z o.o. w IT (wspólnik świadczy usługi): mapa ryzyk kontrolnych i działania „compliance first”, zanim pojawi się wezwanie z urzędu

Czytaj więcej
JDG + sp. z o.o. w IT (wspólnik świadczy usługi): mapa ryzyk kontrolnych i działania „compliance first”, zanim pojawi się wezwanie z urzędu

B2B do podmiotu powiązanego w IT: jak przygotować się na ryzyko wejścia 17% ryczałtu (scenariusze kontroli, dowody, przebudowa modelu rozliczeń)

Czytaj więcej
B2B do podmiotu powiązanego w IT: jak przygotować się na ryzyko wejścia 17% ryczałtu (scenariusze kontroli, dowody, przebudowa modelu rozliczeń)
Zobacz wszystkie

Nagrody

Kancelaria Kopeć Zaborowski oraz Partner Zarządzający adw. Maciej Zaborowski od 2019 roku są rekomendowani jako eksperci KKZ znalazło się w zestawieniu „Najlepsze Kancelarie Polska” magazynu „Forbes” w 2022 i 2023 r. otrzymując szczeg W 2026 r. Kopeć & Zaborowski została nagrodzona w rankingu przygotowanym przez Chambers & Partners w kategorii White Collar W 2019 roku Kancelaria znalazła się w międzynarodowym prestiżowym rankingu The LEGAL 500 – wśród pięciuset najlepszy W 2026 r. adwokat Maciej Zaborowski otrzymał prestiżową nagrodę w międzynarodowym rankingu Global Awards 2026 w kategori

Mówią o nas

Gazeta Prawna Gazeta Wyborcza Rzeczpospolita Onet WP
Puls Biznesu TVN24 Polsat TVP RMF