Wróć do Blogi
    Bezpieczeństwo12.2.2026

    Rejestr audytu, dowody i przechowywanie danych RODO w podpisie elektronicznym

    Rejestr audytu podpisu elektronicznego to cyfrowy dowód tego, kto podpisał, kiedy i w jaki sposób. Jest to kluczowy element ważności podpisu i rozwiązywania sporów. W tym artykule przyjrzymy się, co zawiera rejestr audytu, jak RODO wpływa na przechowywanie danych i jak mała firma może zorganizować swoje archiwum.

    Czym jest rejestr audytu?

    Rejestr audytu (ang. audit trail) to automatycznie gromadzony zapis zdarzeń związanych z podpisem. Rejestruje każdy etap od początku do końca. Rejestr audytu jest istotnym elementem wartości dowodowej podpisu elektronicznego. Bez niego podpis elektroniczny jest praktycznie tylko pikselem na ekranie – rejestr audytu sprawia, że jest prawnie znaczący.

    Jakie informacje zawiera rejestr audytu?

    Kompleksowy rejestr audytu zawiera następujące informacje:

    • Imię i adres e-mail podpisującego
    • Użyta metoda uwierzytelniania (identyfikatory bankowe, mobilny certyfikat, potwierdzenie e-mail)
    • Pieczęć czasowa (data i godzina, strefa czasowa)
    • Adres IP, z którego podpis został złożony
    • Informacje o urządzeniu i przeglądarce
    • Kryptograficzny skrót (hash) dokumentu – dowodzi, że dokument nie został zmieniony
    • Czas wysłania prośby o podpis i czas jej otwarcia
    • Czas zakończenia podpisu

    Co to oznacza w praktyce: jeśli klient kwestionuje podpisanie umowy, rejestr audytu pokazuje, że określona osoba otworzyła dokument z określonego adresu IP, uwierzytelniła się za pomocą bank ID i podpisała dokument w określonym czasie.

    RODO a przechowywanie podpisów elektronicznych

    Rejestr audytu zawiera dane osobowe, dlatego RODO (Ogólne Rozporządzenie o Ochronie Danych UE) określa zasady ich przetwarzania i przechowywania. Kluczowe zasady RODO dotyczące rejestru audytu:

    • Ograniczenie celu: dane mogą być zbierane wyłącznie w określonym celu (uwierzytelnianie podpisu)
    • Minimalizacja danych: zbierane są tylko niezbędne dane
    • Ograniczenie przechowywania: dane są przechowywane tylko tak długo, jak jest to konieczne
    • Integralność i poufność: dane muszą być zabezpieczone technicznie

    W praktyce, okres przechowywania podpisów i związanych z nimi rejestrów audytu zależy od charakteru umowy:

    Typ dokumentuZalecany okres przechowywaniaUzasadnienie
    Umowa handlowa6–10 lat od zakończenia umowyCzas przedawnienia (ogólny 3 lata, prawo handlowe 5 lat)
    Umowa o pracę10 lat od zakończenia stosunku pracyPrzedawnienie roszczeń pracowniczych
    Materiały księgowe6 lat od zakończenia roku obrotowegoPrawo księgowe 2:10
    Transakcje nieruchomościNa stałe lub co najmniej 10 latWymagania zgodnie z Kodeksem cywilnym

    Model archiwizacji dla małych firm

    Mała firma może zorganizować archiwum podpisów elektronicznych w prosty sposób:

    1. Korzystaj z usługi podpisywania (takiej jak EpicSign), która automatycznie archiwizuje podpisane dokumenty i rejestry audytu
    2. Określ okresy przechowywania według typów dokumentów (patrz tabela powyżej)
    3. Eksportuj najważniejsze umowy również do własnego systemu kopii zapasowych
    4. Raz do roku sprawdzaj, czy nie ma przeterminowanych dokumentów, które można usunąć zgodnie z RODO
    5. Udokumentuj zasady przechowywania w opisie rejestru

    Praktyczny przykład: biuro rachunkowe i umowy z klientami

    Tamperelainen biuro rachunkowe przeszło z umów papierowych na EpicSign. Wcześniej umowy znajdowały się w segregatorach – część w biurze, część u klientów. Nikt nie był pewien, gdzie jest najnowsza wersja.\n\nPo podpisaniu elektronicznym sytuacja się zmieniła:

    • Wszystkie umowy znajdują się w archiwum elektronicznym z funkcją wyszukiwania
    • Rejestr audytu poświadcza, kto i kiedy złożył podpis.
    • Rejestr GDPR zaktualizowany o przechowywanie danych podpisu
    • Stare umowy są automatycznie usuwane po upływie okresu przechowywania

    Często zadawane pytania

    Jak długo należy przechowywać rejestr audytu?

    Okres przechowywania zależy od rodzaju umowy. W przypadku umów handlowych zazwyczaj od 6 do 10 lat, w przypadku umów o pracę przez 10 lat od zakończenia stosunku pracy.

    Czy rejestr audytu zawiera dane osobowe?

    Tak. Imię i nazwisko podpisującego, adres e-mail i adres IP są danymi osobowymi zgodnie z GDPR. Muszą być przetwarzane zgodnie z przepisami o ochronie danych.

    Czy można później edytować rejestr audytu?

    Nie. Skrót kryptograficzny (hash) zapewnia, że dane nie mogą zostać zmienione niezauważalnie. Jest to podstawowy wymóg rejestru audytu.

    Jak GDPR wpływa na przechowywanie danych podpisu?

    GDPR wymaga, aby dane były przechowywane tylko przez niezbędny czas. Po upływie okresu przechowywania dane muszą zostać usunięte lub zanonimizowane.

    Czy EpicSign automatycznie zapisuje rejestr audytu?

    Tak. EpicSign automatycznie tworzy kompleksowy rejestr audytu dla każdego zdarzenia podpisu.

    Ten artykuł ma charakter ogólny i nie stanowi porady prawnej.

    Wypróbuj EpicSign

    Rozpocznij bezpłatne testowanie i wyślij pierwszą prośbę o podpis w mniej niż 20 sekund.

    Zobacz ceny