Certyfikat zniszczenia dokumentów to ważny dokument, który potwierdza, że dane zapisane na różnego typu nośnikach zostały trwale usunięte. Jest on bardzo istotny zwłaszcza w przypadku ewentualnych kontroli bądź audytów wewnętrznych i zewnętrznych. Co powinien zawierać certyfikat i kto może go wystawić?
Zanim przejdziemy do omówienia elementów obligatoryjnych certyfikatu zniszczenia dokumentów, warto nadmienić, czym on w ogóle jest i dlaczego jest tak istotny w kontekście utylizacji danych? Otóż certyfikat zniszczenia dokumentów stanowi potwierdzenie trwałego usunięcia danych chronionych. Oznacza to, że zostały one przetworzone w taki sposób, aby ich odtworzenie nie było możliwe. Tego typu dokument jest niezwykle ważny w kontekście obowiązujących w Polsce przepisów, w tym RODO. Ustawodawca wymaga, aby dane, które w szczególny sposób objął ochronę (dane osobowe, poufne, tajne), były utylizowane trwale. Co ciekawe, nie podaje przy tym sposobu, jaki należałoby w konkretnych przypadkach zastosować. Chcąc uzyskać wskazówki w tym zakresie, musimy sięgnąć do norm DIN, zwłaszcza normy 66399. Certyfikat zniszczenia danych po pierwsze potwierdza, że wybrane dokumenty zostały poddane utylizacji, po drugie wskazuje, że odbyła się ona w sposób prawidłowy, wymagany przez prawo.
Przepisy nie określają, jakie elementy powinien zawierać certyfikat zniszczenia dokumentów. Praktyka pokazuje jednak, że powinny się w nim znaleźć:
Dodatkowo certyfikat może zawierać wyszczególnienie dokumentów, które zostały zniszczone. Na ogół nie praktykuje się takiego zapisu, ale może on okazać się konieczny na przykład w kontekście danych ściśle tajnych. Co ciekawe dokument można wystawić bez względu na to, jakim sposobem odbyło się niszczenie nośników danych. Ważne natomiast, aby finalnie doprowadzić do ich trwałej utylizacji.
Potwierdzenie zniszczenia dokumentów wystawia firma, która realizowała to zadanie. Jest ono niejako potwierdzeniem nie tylko samej utylizacji, ale też przejęcia za nią odpowiedzialności. Czasami tego typu dokument może też wystawić pracownik przedsiębiorstwa lub instytucji, których dokumenty zostały zniszczone. Jest to tak zwany dowód wewnętrzny, który również powinien być zarchiwizowany. Dzięki temu wiadomo, które dane zostały zniszczone oraz kto odpowiadał za ten proces. Niemniej jednak certyfikat jako dowód wewnętrzny wystawiany jest niezmiernie rzadko. Najczęściej robią to firmy oferujące profesjonalne niszczenie dokumentów, które w ten sposób potwierdzają wykonanie usługi.
Niszczenie dysków twardych, papieru innych nośników danych wymaga wystawienia dokumentu, jakim jest certyfikat zniszczenia. Często jednak firmy wystawiają również protokół, który w swojej istocie przypomina certyfikat. Zawiera on podobne informacje, ale zwykle ma nieco dłuższą formę, niż certyfikat zniszczenia danych. Jeśli firma wystawia oba dokumenty, protokół jest obszerniejszy, a certyfikat nieco bardziej skondensowany. Natomiast w sytuacji, gdy firma nie wystawia protokołu, jego miejsce zajmuje certyfikat, stając się tym samym dokumentem zawierającym więcej danych.
Procedura certyfikacji jest bardzo obszerna, jednak w skrócie wygląda następująco:
Jeśli utylizacja odbywa się w siedzibie usługodawcy, certyfikat najczęściej zostaje przekazany drogą elektroniczną wraz z fakturą. Natomiast mobilne niszczenie dokumentów, które odbywa się w siedzibie usługobiorcy, potwierdzone zostaje natychmiastowym wystawieniem certyfikatu. Procedura certyfikacji może nieco różnić się w zależności od podmiotu realizującego usługę, jednak finalnie dokument zawsze powinien trafić do rąk przedsiębiorcy. Może on stanowić dowód w przypadku kontroli lub podejrzenia wycieku danych. Certyfikat wystawiany jest jednak do wszystkich rodzajów dokumentów, nie tylko tych, które zawierają dane chronione prawnie.