--- title: "Zarządzanie dokumentami a RODO: na co musisz zwrócić uwagę" description: "DMS i ochrona danych: lokalizacja hostingu, powierzenie przetwarzania, kontrola dostępu oraz napięcie między obowiązkiem usuwania a okresami przechowywania." type: "wissen" product: "documents" slug: "zarzadzanie-dokumentami-rodo" source_language: "de" target_languages: ["de", "en", "es", "pl", "tr"] published: "2026-06-10" status: "publish" faq_json: [{"q":"Dlaczego DMS jest tematem związanym z RODO?","a":"Faktury, umowy i korespondencja zawierają dane osobowe klientów, dostawców i pracowników. Gdy tylko DMS przechowuje i przetwarza takie dokumenty, obowiązują wymogi RODO."}, {"q":"Na co powinienem zwrócić uwagę przy wyborze DMS?","a":"Na lokalizację hostingu i obowiązujące prawo, umowę powierzenia przetwarzania (AVV), kontrolę dostępu opartą na rolach, szyfrowaną transmisję oraz możliwą do prześledzenia rejestrację dostępów."}, {"q":"Jak pogodzić obowiązek usuwania z okresami przechowywania?","a":"Ustawowe obowiązki przechowywania mają pierwszeństwo przed usuwaniem: dowody istotne podatkowo muszą być przechowywane, nawet jeśli zawierają dane osobowe. Po upływie terminu zaczyna obowiązywać obowiązek usuwania."}, {"q":"Czy potrzebuję umowy powierzenia przetwarzania (AVV) z dostawcą DMS?","a":"Z reguły tak: jeśli dostawca przechowuje dokumenty z danymi osobowymi na twoje zlecenie, jest podmiotem przetwarzającym – wtedy RODO wymaga umowy powierzenia przetwarzania."}, {"q":"Czy niemieckie centrum danych jest obowiązkowe?","a":"Nie, RODO nie narzuca lokalizacji. Hosting w Niemczech lub w UE znacznie upraszcza jednak ocenę prawną, ponieważ nie trzeba sprawdzać transferu do państwa trzeciego."}] language: "pl" source_id: "wissen/dokumentenmanagement-dsgvo" source_hash: "7ce593ad9e6377eb7871080a6a9db14b4113dd23c4d1818a46719f161a4e0bf4" --- System zarządzania dokumentami niemal nieuchronnie przetwarza dane osobowe – nazwiska na fakturach, adresy w umowach, dane o wynagrodzeniach w dokumentach kadrowych. W związku z tym obowiązują wymogi RODO: potrzebujesz bezpiecznego przetwarzania, uregulowanych dostępów, umowy z dostawcą oraz koncepcji, która czysto oddziela obowiązki przechowywania od obowiązków usuwania. ## Dlaczego DMS automatycznie staje się tematem ochrony danych RODO nie rozróżnia między „bazą danych” a „archiwum dokumentów”. Zeskanowany list z nazwiskiem nadawcy jest tak samo danymi osobowymi jak wpis w systemie CRM. Kto centralnie przechowuje dokumenty, czyni je przeszukiwalnymi i udostępnia w zespole, ten przetwarza te dane – i musi robić to w sposób odpowiedzialny. To nie jest argument przeciwko DMS, wręcz przeciwnie: centralne, uregulowane archiwum jest znacznie łatwiej prowadzić zgodnie z RODO niż rozproszone foldery, lokalne kopie i prywatne skrzynki mailowe. ## Pięć najważniejszych punktów do sprawdzenia przy wyborze - **Lokalizacja hostingu i obowiązujące prawo:** Gdzie fizycznie znajdują się dane, jakie prawo obowiązuje dostawcę? Hosting w Niemczech lub w UE oszczędza ci konieczności sprawdzania transferów do państw trzecich. - **Umowa powierzenia przetwarzania (AVV):** Dostawca przechowuje dokumenty na twoje zlecenie i jest tym samym z reguły podmiotem przetwarzającym. Bez umowy powierzenia brakuje podstawy umownej. - **Kontrola dostępu:** Nie każdy w zespole musi widzieć wszystko. Zwróć uwagę na role i reguły widoczności – dokumenty kadrowe należą do innych rąk niż faktury przychodzące. - **Szyfrowanie i bezpieczne logowanie:** Transmisja szyfrowana, dostępy chronione – na przykład za pomocą kodów jednorazowych zamiast współdzielonych haseł. - **Możliwość prześledzenia:** Powinno być widoczne, co działo się z dokumentami. To pomaga również przy żądaniach dostępu ze strony osób, których dane dotyczą. ## Napięcie: usuwać czy przechowywać RODO wymaga usuwania danych osobowych, gdy ustaje cel ich przetwarzania. Jednocześnie prawo podatkowe i handlowe wymaga przechowywania dowodów księgowych przez wiele lat. Rozwiązanie: ustawowe obowiązki przechowywania stanowią odrębną podstawę prawną – dokumenty istotne podatkowo pozostają w archiwum, dopóki nie upłynie ich termin. Następnie zaczyna obowiązywać obowiązek usuwania. Dobry DMS wspiera dokładnie ten cykl życia: zdefiniowane przechowywanie zamiast „po prostu sobie leży”. Jak działa niezmienialne archiwizowanie, wyjaśnia artykuł [Archiwizacja zgodna z wymogami rewizyjnymi](/pl/wissen/revisionssichere-archivierung.html). ## Jak realizuje to webRichtung documents [webRichtung documents](https://www.webrichtung.de/module/documents/) jest rozwijane i prowadzone w Niemczech oraz zaprojektowane z myślą o pracy świadomej wymogów RODO: dokumenty twojej organizacji znajdują się centralnie z jasnymi ścieżkami dostępu, logowanie odbywa się za pomocą kodów jednorazowych, a archiwum GoBD przechowuje dokumenty z Object Lock w sposób niezmienialny przez 6, 8 lub 10 lat – ze zdefiniowanym terminem końcowym zamiast nieograniczonej hałdy danych. Szczegóły dotyczące obsługi znajdziesz w [dokumentacji](https://docs.webrichtung.de/documents/). ## Praktyczny początek Zacznij od krótkiej inwentaryzacji: jakie rodzaje dokumentów z danymi osobowymi posiadasz (dowody księgowe, umowy, akta osobowe)? Kto potrzebuje dostępu do czego? Jakie okresy przechowywania obowiązują dla każdego rodzaju? Mając te trzy odpowiedzi, możesz w uporządkowany sposób ocenić DMS – i czysto udokumentować wdrożenie, na wypadek gdyby organ nadzorczy zapytał. Określ ponadto, jak kończą się dostępy: gdy ktoś opuszcza zespół, dostęp musi dać się odebrać centralnie. To również przemawia za platformą z centralnymi kontami zamiast lokalnie kopiowanych folderów, których losu nikt już nie jest w stanie prześledzić. Niniejszy artykuł ma charakter ogólnoinformacyjny i nie zastępuje porady prawnej ani podatkowej.