Kilkanaście miesięcy od czasu wejścia w życie europejskich przepisów Ustawy o Ochronie Danych Osobowych, potocznie nazywanych RODO, to czas, kiedy firmy, organizacje i urzędy, skupiły się głównie na formalnych aspektach pozyskiwania, administrowania i przetwarzania danych osobowych. Niewiele podmiotów jednak zdaje sobie sprawę, że w zakres tych czynności, wchodzi również zgodne z prawem, niszczenie dokumentacji. Wszelkie dane pozyskane, np. w ramach procesów rekrutacyjnych, czy nawiązanych umów, a już niewykorzystywane, podlegają obowiązkowemu zniszczeniu.
Rozporządzenie nie precyzuje w jaki sposób należy zniszczyć dokumenty, a jedynie w artykule 4, pkt. 2, zwraca uwagę, że zakres definicji przetwarzania danych osobowych oznacza:
„(…)operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”
W związku z powyższym takim samym rygorom formalnym podlega niewłaściwe gromadzenie, czy wykorzystywanie danych osobowych, jak i ich niszczenie.
Właściwymi środkami bezpieczeństwa w zakresie utylizacji danych osobowych, są takie działania, które uniemożliwiają ich odtworzenie. Znane są liczne przypadki odnalezienie i wykorzystania w wyrzuconych przez firmy śmieciach, dokumentów zniszczonych na niszczarkach biurowych. Odtworzenie takich danych nie wymaga wielkiego wysiłku i może w efekcie skończyć się wielomilionowymi karami nałożonymi przez Generalnego Inspektora Danych Osobowy.
O ile zniszczenie kilkunastu, czy kilkudziesięciu kartek dokumentów nie jest wyzwaniem, o tyle utylizacja tysięcy stron akt w sposób uniemożliwiający ich odtworzenie staje się już zadaniem wymagającym zaangażowania dodatkowych środków. Między innymi dlatego właśnie dokumenty powinny być niszczone jedynie z najwyższą klasą tajności według normy DIN 66399.
Na co należy zwrócić uwagę wybierając podmiot, który zajmie się niszczeniem naszych dokumentów? Przede wszystkim należy pamiętać, że odpowiedzialność za niewłaściwy sposób zniszczenia danych (ich ochronę) ponosi administrator, czyli firma zlecająca zniszczenie dokumentacji. Z tego powodu proces wyłaniania podmiotu niszczącego jest równie istotny jak i sam jego przebieg. Z takim podmiotem niezbędne jest podpisanie umowy na powierzenie i przetwarzanie danych osobowych, ponieważ zgodnie z przytoczonym artykułem, proces niszczenia właśnie takim jest. Umowa taka powinna określać prawa i obowiązki stron. Zwrócić należy szczególną uwagę, czy podmiot świadczący usługę niszczenia dokumentów posiada odpowiednie środki techniczne (np. zgodne z normą DIN 66399), czy odebrane dokumenty trafia do specjalnych, zamkniętych pojemników, , czy firma wystawia certyfikat potwierdzający zniszczenie dokumentów, czy istnieje możliwość śledzenia całego procesu oraz czy osoby przeprowadzające proces niszczenia posiadają odpowiednie kwalifikacje. Więcej o tym w jaki sposób proces ten przebiega u nas można przeczytać tutaj.
Dodatkowo umowa z firmą niszczącą dokumenty powinna zawierać szczegółowe informacje dotyczące typu niszczonej dokumentacji, czasu w jakim proces zostanie przeprowadzony oraz rodzaju danych, które zawiera dokumentacja.
Choć sam proces niszczenia dokumentacji przez podmiot zewnętrzny może wydawać się pewnego rodzaju „przerostem formy nad treścią”, to warto zwrócić uwagę przede wszystkim na aspekt bezpieczeństwa jaki daje on administratorowi danych, a w perspektywie samej firmie zysków wynikających z braku nałożonej kary za niezgodny z przepisami RODO proces zniszczenia dokumentów.
