IINTE.edu.pl Innowacje Internetowe. Portal edukacyjny.

Niszczenie dokumentów zawierających dane osobowe to jeden z najważniejszych obowiązków wynikających z RODO, obowiązującego od 25 maja 2018 roku w całej UE. Proces ten wykracza poza zwykłe wyrzucenie papieru czy usunięcie pliku i jest procedurą prawną oraz techniczną, która musi spełniać określone normy bezpieczeństwa. Każda organizacja przetwarzająca dane osobowe – niezależnie od wielkości – musi wdrożyć procedury bezpiecznego niszczenia, aby uniknąć kar do 20 mln euro lub 4% rocznego obrotu.

Tutaj przeczytasz:

Kontekst prawny i fundamentalne zasady RODO dotyczące niszczenia danych

RODO to unijne rozporządzenie, które zrewolucjonizowało podejście do ochrony danych osobowych i ma zastosowanie do wszystkich podmiotów przetwarzających dane osób fizycznych, również poza UE, jeśli oferują towary lub usługi osobom w UE.

Kluczowe jest to, że niszczenie dokumentów stanowi formę przetwarzania danych (art. 4 pkt 2 RODO). Oznacza to, że podlega wszystkim zasadom i wymogom bezpieczeństwa przewidzianym dla przetwarzania.

Fundamentalna pozostaje zasada ograniczenia przechowywania (art. 5 ust. 1 lit. e) – dane wolno przechowywać nie dłużej, niż jest to niezbędne do realizacji celu. Po upływie okresu retencji dane muszą zostać usunięte w sposób bezpieczny i nieodwracalny.

Wymogi dotyczą wszystkich nośników: dokumentów papierowych oraz danych na dyskach twardych, pendrive’ach, płytach CD, kartach chipowych i innych nośnikach elektronicznych. Niszczenie musi uniemożliwiać odtworzenie danych; rozporządzenie pozostawia jednak wybór metod pod warunkiem zgodności ze standardami.

Prawo do usunięcia danych i prawo do bycia zapomnianym

Art. 17 RODO (prawo do bycia zapomnianym) przyznaje osobie fizycznej prawo żądania niezwłocznego usunięcia danych. Administrator ma obowiązek je usunąć, gdy zachodzi jedna z ustawowych przesłanek.

Najczęstsze przesłanki usunięcia danych z art. 17 RODO przedstawiają się następująco:

  • brak niezbędności – dane nie są już potrzebne do celów, dla których je zebrano;
  • wycofanie zgody – nie istnieje inna podstawa prawna przetwarzania;
  • sprzeciw wobec marketingu bezpośredniego – dalsze przetwarzanie jest niedopuszczalne;
  • niezgodność z prawem – dane były przetwarzane nielegalnie;
  • obowiązek prawny – usunięcie jest wymagane przez prawo UE lub krajowe;
  • dane dzieci – zebrane w związku z usługami społeczeństwa informacyjnego poniżej 16. roku życia.

Administrator, który upublicznił dane, musi podjąć rozsądne działania, by poinformować innych administratorów o żądaniu ich usunięcia. Prawo do usunięcia nie jest absolutne – istnieją wyjątki umożliwiające odmowę (np. obowiązek prawny, interes publiczny, dochodzenie roszczeń).

Wniosek o usunięcie może mieć formę pisemną lub ustną, przy czym rekomendowany jest protokół w przypadku formy ustnej. Administrator ma miesiąc na rozpatrzenie żądania.

Dokumenty podlegające niszczeniu i klasyfikacja danych wrażliwych

Zakres dokumentów podlegających niszczeniu jest szeroki i obejmuje materiały papierowe oraz cyfrowe. Poniżej przykładowe kategorie, które typowo zawierają dane osobowe:

  • faktury, umowy, wyciągi bankowe,
  • akta osobowe i dokumentacja kadrowa,
  • dokumentacja księgowa i podatkowa,
  • korespondencja z klientami i kontrahentami,
  • dokumentacja sądowa i administracyjna.

Każda organizacja powinna przeprowadzić inwentaryzację, wskazać dokumenty zawierające dane osobowe i oznaczyć te przeznaczone do zniszczenia.

Dane wrażliwe (art. 9 RODO) obejmują m.in. informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych/światopoglądowych, przynależności związkowej, a także dane genetyczne, biometryczne, zdrowotne i dotyczące życia seksualnego. W praktyce do danych o podwyższonej wrażliwości zalicza się też m.in. PESEL, numery dokumentów, rachunki bankowe czy adresy. Niszczenie danych wrażliwych musi całkowicie uniemożliwiać ich odtworzenie.

Metodologia niszczenia dokumentów papierowych i elektronicznych

Dla dokumentów papierowych rekomendowane są niszczarki o poziomie co najmniej P-4 (ISO/IEC 21964). Domowe metody (rwanie, spalanie w niekontrolowanych warunkach) są niewystarczające, jeśli istnieje ryzyko rekonstrukcji treści.

RODO nie wskazuje jednej techniki, ale wymaga nieczytelności i nieodwracalności. Dobór niszczarki powinien odpowiadać charakterowi danych i wymaganej klasie bezpieczeństwa.

W przypadku nośników elektronicznych samo „usunięcie” plików jest niewystarczające. Najczęściej stosuje się następujące metody:

  • nadpisywanie – wielokrotne zapisywanie losowych wzorców na nośniku,
  • rozdrabnianie nośnika (shredding) – mechaniczne zniszczenie nośników o wysokiej poufności,
  • fizyczna destrukcja – przepalanie, rozpuszczanie lub inne formy trwałego uszkodzenia.

Usuwanie danych to przetwarzanie w rozumieniu art. 4 pkt 2 RODO – odpowiedzialność za ewentualny wyciek ponosi administrator. Resztki papieru i elementy nośników należy utylizować w sposób bezpieczny i kontrolowany.

Normy i standardy techniczne – DIN 66399 i ISO/IEC 21964

Bezpieczne niszczenie wspierają międzynarodowe normy: ISO/IEC 21964 (definicje, wymagania dla urządzeń, przebieg niszczenia) oraz DIN 66399 (klasy bezpieczeństwa i kategorie nośników). DIN 66399 wyróżnia poziomy P-1 do P-7 dla papieru – im wyższy poziom, tym drobniejszy ścinek i wyższe bezpieczeństwo.

Ogólne przeznaczenie poziomów P-1–P-7 dla dokumentów papierowych prezentuje poniższe zestawienie:

Poziom (P) Charakter danych Typowe zastosowanie
P-1 informacje o niskiej poufności korespondencja wewnętrzna, materiały ogólne
P-2 dane o ograniczonej poufności dokumenty biurowe o niskim ryzyku
P-3 dane poufne dokumenty z danymi osobowymi
P-4 dane szczególnie poufne dane wrażliwe – rekomendowane minimum
P-5 dane tajne dane o wysokiej krytyczności
P-6 dane szczególnie tajne informacje strategiczne
P-7 dane ściśle tajne administracja rządowa, dane najwyższej wagi

DIN 66399 definiuje także klasy dla innych nośników: optycznych (O-1–O-7), magnetycznych (T-1–T-7) i elektronicznych (E-1–E-7). Wybór klasy powinien odpowiadać rodzajowi nośnika i ryzyku związanym z jego treścią.

Procedury wewnętrzne i samodzielne niszczenie dokumentów

Podmiot może niszczyć dokumenty samodzielnie lub zlecić to wyspecjalizowanej firmie. Dla małych wolumenów często wystarcza zakup odpowiedniej niszczarki.

Kluczowe dla zgodności jest przeszkolenie pracowników i stosowanie urządzeń zapewniających właściwą klasę bezpieczeństwa. Organizacja powinna mieć spisaną procedurę niszczenia, dostosowaną do swojej specyfiki.

Poniżej przykładowa sekwencja kroków tworzących procedurę wewnętrzną:

  1. inwentaryzacja zasobów – identyfikacja dokumentów i nośników zawierających dane osobowe, wskazanie podstawy prawnej i celu przetwarzania,
  2. kwalifikacja do retencji lub zniszczenia – weryfikacja, czy dokument jest nadal potrzebny do realizacji celu (zasada minimalizacji),
  3. bezpieczne gromadzenie – odkładanie materiałów do zamkniętych, zaplombowanych pojemników,
  4. transport do miejsca zniszczenia – z ograniczeniem dostępu i kontrolą łańcucha przekazania,
  5. zniszczenie odpowiednią metodą – z użyciem niszczarki o właściwej klasie,
  6. udokumentowanie procesu – data, zakres, metoda, osoby odpowiedzialne, protokół i certyfikat.

W dokumentacji należy odnotować datę niszczenia, liczbę zniszczonych jednostek i osoby odpowiedzialne.

Outsourcing niszczenia danych do firm wyspecjalizowanych

Zewnętrzni dostawcy dysponują sprzętem zgodnym z DIN 66399 i wiedzą w zakresie klas tajności. Organizacja przekazuje dokumenty, a po zniszczeniu otrzymuje protokół i certyfikat.

Warunkiem zgodności jest zawarcie umowy powierzenia przetwarzania danych z podmiotem przetwarzającym oraz weryfikacja jego środków technicznych i organizacyjnych.

Zanim podpiszesz umowę, upewnij się, że zawiera ona co najmniej następujące elementy:

  • zakres i sposób niszczenia – opis metody, klasa bezpieczeństwa, normy (np. DIN 66399);
  • terminy realizacji – w tym termin trwałego usunięcia wszystkich kopii po zakończeniu usługi;
  • wymogi bezpieczeństwa – środki techniczne i organizacyjne, kontrola dostępu, monitoring;
  • uprawnienia kontrolne administratora – zasady audytów, terminy powiadomień (np. 3 dni), obowiązek usunięcia uchybień (np. 2 dni);
  • odpowiedzialność i kary umowne – wysokość kar, zasady naprawienia szkody.

Za nieprawidłowe zniszczenie odpowiada administrator, nie wykonawca usługi. Dlatego należy sprawdzić reputację, certyfikaty i praktyki operacyjne dostawcy.

Dokumentacja i protokoły niszczenia

Trwałe usunięcie danych musi być potwierdzone protokołem i certyfikatem, które zapewniają rozliczalność i możliwość audytu.

W protokole niszczenia powinny znaleźć się następujące informacje:

  • numer protokołu – unikatowy identyfikator dokumentu;
  • daty – sporządzenia protokołu i wykonania zniszczenia;
  • zakres – liczba/jednostka zniszczonych materiałów (sztuki, kg itp.);
  • metoda i norma – sposób niszczenia, poziom (np. P-4), odniesienie do DIN 66399;
  • osoby odpowiedzialne – podpisy i dane identyfikacyjne;
  • dodatkowe dowody – zapis monitoringu, nośnik z nagraniem (opcjonalnie).

Ze ścinków i odpadów nie wolno móc odtworzyć informacji – to podstawowe kryterium skutecznego zniszczenia.

Okresy przechowywania danych i terminy retencji

Poprawne określenie retencji jest podstawą planowania zniszczenia. RODO nie wskazuje sztywnych terminów – wynikają one z celu przetwarzania oraz przepisów szczególnych.

Dla przejrzystości, najczęściej spotykane okresy retencji można zestawić następująco:

Kategoria dokumentów Podstawa/uwaga Typowy okres przechowywania
Akta osobowe (po 1.01.2019) przepisy prawa pracy 10 lat od końca roku ustania stosunku pracy
Akta osobowe (przed 1.01.2019) przepisy przejściowe; możliwy raport do ZUS 50 lat (chyba że złożono raport informacyjny)
Dokumentacja podatkowo‑księgowa ustawy podatkowe 5 lat od początku roku następującego po roku obrachunkowym
Umowy i rozliczenia z klientami terminy przedawnienia roszczeń czas trwania umowy + do 6 lat
Monitoring wizyjny (bez zdarzeń) cel bezpieczeństwa zwykle 30–90 dni
Monitoring – materiał dowodowy postępowanie w toku do prawomocnego zakończenia sprawy

Retencję można uzasadniać również prawnie uzasadnionym interesem (art. 6 ust. 1 lit. f RODO) – po pozytywnym teście równowagi i tylko przez okres niezbędny (np. obrona przed roszczeniami).

Odpowiedzialność, kary i konsekwencje prawne

Naruszenia przepisów RODO w zakresie niszczenia mogą skutkować karami do 20 000 000 euro lub 4% światowego obrotu (dla najpoważniejszych naruszeń zasad z art. 5, 6, 9 RODO).

Dla innych naruszeń (np. brak środków techniczno‑organizacyjnych – art. 32 RODO, brak oceny skutków – art. 35 RODO) maksymalna kara to 10 000 000 euro lub 2% obrotu. Prezes UODO nakłada kary decyzją administracyjną, biorąc pod uwagę m.in. wagę i czas naruszenia, podjęte działania naprawcze i kategorie danych.

Możliwa jest też odpowiedzialność karna osób fizycznych (grzywna, ograniczenie lub pozbawienie wolności do 2 lat) oraz odpowiedzialność cywilna wobec osób, które poniosły szkodę – RODO przewiduje prawo do odszkodowania bez z góry określonego limitu.

Szczególne przypadki i wyjątki od obowiązku niszczenia

RODO przewiduje sytuacje, w których prawo do usunięcia nie ma zastosowania. Najważniejsze wyjątki to:

  • wolność wypowiedzi i informacji – gdy usunięcie naruszałoby te prawa;
  • obowiązek prawny – przechowywanie wymagane przepisami UE lub prawa krajowego;
  • interes publiczny – w tym zdrowie publiczne, zadania realizowane w interesie publicznym;
  • cele archiwalne, naukowe, historyczne lub statystyczne – gdy usunięcie uniemożliwiłoby realizację celu;
  • ustalenie, dochodzenie lub obrona roszczeń – gdy dane są niezbędne do ochrony prawnej.

Perspektywy przyszłości i dobre praktyki w zarządzaniu danymi

Skuteczne, udokumentowane niszczenie minimalizuje ryzyko naruszeń i chroni reputację organizacji. Procedury powinny być regularnie weryfikowane i dostosowywane do zmieniających się przepisów i standardów.

Wdrożenie poniższych praktyk ułatwi zgodność i bezpieczeństwo:

  • kompletna polityka retencji – jasne okresy przechowywania powiązane z celami i podstawami prawnymi,
  • umowy powierzenia – precyzyjne wymogi dot. metod niszczenia, klas bezpieczeństwa, SLA i kar,
  • pełna ścieżka audytu – inwentaryzacja, protokoły, certyfikaty i rejestry czynności,
  • digitalizacja – bezpieczne archiwum elektroniczne zmniejsza wolumen papieru i koszty utylizacji,
  • cykliczne szkolenia personelu – podnoszenie świadomości ryzyk i konsekwencji naruszeń,
  • regularne audyty – przeglądy procedur i sprzętu, testy zgodności ze standardami.