Jak niszczyć dokumenty w zgodzie z RODO?

Z pewnością nie raz słyszałeś, że dane klientów w tej, czy innej firmie wyciekły. Takie sytuacje mogą skutkować nie tylko utratą zaufania, ale także mocnymi zawirowaniami w budżecie firmy, gdy w grę wejdą kary finansowe związane z nieprzestrzeganiem RODO. Oczywiście taka sytuacja nie musi mieć miejsca w Twojej firmie. Jak tego dokonać i jak Destroy może Ci w tym pomóc? Sprawdź koniecznie.


Jak niszczyć dokumenty w zgodzie z RODO?

RODO a niszczenie dokumentów - podstawowe wymagania prawne

RODO (ogólne rozporządzenie o ochronie danych) nie podaje wprost, na ile lat masz przechowywać konkretne dokumenty, od tego są przepisy branżowe, podatkowe czy z zakresu prawa pracy. Rozporządzenie jasno mówi jednak jedno: dane osobowe wolno trzymać tylko tak długo, jak jest to niezbędne do celu, w jakim zostały zebrane. Po upływie tego okresu muszą zostać usunięte w sposób trwały i nieodwracalny. Z punktu widzenia RODO niszczenie dokumentów (papierowych i elektronicznych) jest więc jednym z kluczowych etapów całego procesu przetwarzania danych.

Prawo wymaga, aby administrator danych, czyli podmiot decydujący o celach i sposobach przetwarzania (najczęściej pracodawca, właściciel firmy, zarząd spółki lub organ jednostki publicznej), zapewnił odpowiednie środki techniczne i organizacyjne. Chodzi m.in. o:

  • odpowiednią archiwizację dokumentów,
  • kontrolę dostępu do dokumentów,
  • stosowanie metod niszczenia dostosowanych do rodzaju danych
  • prowadzenie wewnętrznych procedur, które opisują, kiedy i w jaki sposób dokumenty są wycofywane z obiegu i likwidowane.

To administrator odpowiada za cały cykl życia dokumentacji: od pozyskania danych, przez przechowywanie, aż po ich bezpieczne zniszczenie.

RODO kładzie nacisk na to, aby po zakończeniu okresu przechowywania dane były usuwane tak, by nie dało się ich odtworzyć: ani z kartki papieru, ścinek, dysku, serwera czy kopii zapasowej. Wymaga również, by sposób niszczenia danych był proporcjonalny do ich wrażliwości: inaczej podejdziemy do notatek wewnętrznych, a inaczej do dokumentacji medycznej czy akt pracowniczych zawierających numery PESEL i informacje o zdrowiu.

Stosowane rozwiązania muszą wynikać z analizy ryzyka i być udokumentowane w rejestrach czynności oraz politykach bezpieczeństwa.

Naruszenie zasad ochrony danych, w tym niewłaściwe niszczenie dokumentów lub ich przetrzymanie w archiwach, może skutkować nie tylko koniecznością zgłoszenia incydentu do organu nadzorczego i poinformowania osób, których dane dotyczą, ale też dotkliwymi karami finansowymi.

RODO przewiduje administracyjne kary pieniężne sięgające nawet 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Dla wielu firm oznacza to, że brak przemyślanej polityki niszczenia dokumentów może stać się ryzykiem biznesowym.

Bezpieczne i zgodne z RODO niszczenie dokumentów - najlepsze praktyki dla firm

Bezpieczne niszczenie dokumentów zaczyna się dużo wcześniej niż dopiero przy niszczarce. Kluczowe są jasne procedury: co niszczymy, po jakim czasie i kto za to odpowiada. Dlatego w pierwszym kroku pomagamy klientom zdefiniować kategorie dokumentów, okresy retencji i sposób ich obiegu w firmie. Dzięki temu przechowywanie dokumentów nie zamienia się w chaotyczne gromadzenie papierów, tylko w kontrolowany proces, którego naturalnym finałem jest zgodne z RODO zniszczenie danych.

Równie ważne jest przechowywanie dokumentów. Dokumenty przeznaczone do utylizacji nie powinny leżeć na biurkach, w otwartych szafkach czy kartonach. Udostępniamy zamykane, plombowane pojemniki, do których Twoi pracownicy wrzucają akta przewidziane do zniszczenia. Ogranicza to dostęp osób postronnych i minimalizuje ryzyko podejrzenia lub skopiowania danych. Następnie ustalamy stały harmonogram odbiorów, tak aby stosy papierów nie zalegały w biurze bez odpowiedniej ochrony.

Bezpieczne, zgodne z RODO niszczenie dokumentów wymaga także właściwego doboru technologii. Zwykła niszczarka biurowa często nie spełnia klas bezpieczeństwa wymaganych dla danych osobowych czy dokumentów wrażliwych.

W Destroy korzystamy z przemysłowych urządzeń spełniających normę DIN 66399, które tną dokumenty na tak drobne ścinki, że ich odtworzenie danych jest niemożliwe. Po zakończeniu procesu wystawiamy certyfikat zniszczenia, który stanowi dowód na wypadek kontroli organu nadzorczego lub audytu wewnętrznego.

Dobrą praktyką, jaką stosujemym jest też dokumentowanie całego procesu: od przekazania dokumentów do pojemników, przez odbiór i transport, aż po samą utylizację. W wielu przypadkach stosujemy system śledzenia pojazdów GPS. To wszystko sprawia, że niszczenie dokumentów staje się przejrzystym, powtarzalnym procesem, a nie ryzykownym obowiązkiem, który przypomina o sobie dopiero podczas kontroli.

Niszczenie dokumentów przez inny podmiot: kiedy jest zgodne z RODO?

Niszczenie dokumentów przez inny podmiot jest zgodne z RODO, o ile to Ty, jako administrator danych, zachowujesz kontrolę nad całym procesem. Oznacza to, że nie oddajesz odpowiedzialności całkowicie razem z dokumentami, ale powierzysz ich przetwarzanie podmiotowi przetwarzającemu na podstawie umowy spełniającej wymogi art. 28 RODO. Taka umowa musi precyzyjnie określać zakres usługi, rodzaj danych, czas trwania współpracy, sposób niszczenia oraz środki bezpieczeństwa, które stosuje wykonawca.

Kluczowe jest to, aby firma niszcząca dokumenty zapewniała odpowiedni poziom ochrony: kontrolę dostępu, procedury poufności pracowników, monitoring procesu niszczenia oraz właściwą utylizację pozostałości. W praktyce, w naszej firmie, oznacza to m.in. stosowanie certyfikowanych urządzeń, spełnianie odpowiednich norm (np. co do stopnia rozdrobnienia) i możliwość udostępnienia dokumentacji potwierdzającej przebieg procesu, np. protokołu czy certyfikatu zniszczenia.

RODO dopuszcza też korzystanie z podwykonawców przez firmę niszczącą dokumenty, ale tylko wtedy, gdy Ty jako administrator wyrazisz na to zgodę (ogólną lub szczegółową), a kolejne podmioty będą objęte takimi samymi obowiązkami jak główny usługodawca. Jeżeli wybierzesz rzetelnego partnera i zadbasz o właściwą umowę powierzenia, outsourcing niszczenia dokumentów pozostaje w pełni zgodny z RODO, a jednocześnie odciąża Twój zespół z bardzo wymagającego procesu.

Jakich metod niszczenia danych osobowych nie wolno stosować?

Nie wszystkie sposoby niszczenia dokumentów są zgodne z RODO. Część z nich w ogóle nie zapewnia ochrony danych. Przede wszystkim nie wolno traktować poufnych dokumentów jak zwykłych odpadów. Rwanie kartek ręcznie, wrzucanie ich w całości do kosza, makulatury czy kontenera na papier to prosta droga do wycieku danych. Treść można łatwo odczytać lub poskładać.

Podobnie nieakceptowalne jest zostawianie worków z dokumentami w ogólnodostępnych miejscach, na korytarzu czy przy śmietniku. Z punktu widzenia RODO to równoznaczne z udostępnieniem danych osobom nieuprawnionym.

Ostrożnie trzeba też podchodzić do klasycznych niszczarek biurowych. W przypadku dokumentów zawierających dane osobowe cięcie kartek w paski jest niewystarczające. Dłuższe ścinki da się odtworzyć, a więc metoda nie spełnia standardów bezpiecznego zniszczenia.

Niewłaściwe jest również wyrzucanie ścinków z niszczarki jako zwykłego odpadu. W dużych ilościach nadal mogą stanowić źródło informacji, jeśli trafią w niepowołane ręce. Bezpieczne niszczenie powinno spełniać odpowiednie klasy bezpieczeństwa (np. według ISO 21964) i kończyć się utylizacją odpadów w kontrolowany sposób, najlepiej z recyklingiem.

Podobne błędy dotyczą danych elektronicznych. Usunięcie plików, opróżnienie kosza, szybkie formatowanie dysku czy resetowanie urządzenia nie jest traktowane jako skuteczne niszczenie. Dane wciąż można odzyskać z nośnika.

Nie wolno więc sprzedawać, oddawać lub wyrzucać komputerów, dysków, pendrive’ów czy telefonów służbowych bez wcześniejszego trwałego zniszczenia danych, np. poprzez demagnetyzację lub fizyczne zniszczenie nośnika.

Z perspektywy RODO niewłaściwe są wszystkie metody, które:

  • pozostawiają możliwość odczytu danych,
  • nie pozwalają udokumentować procesu niszczenia (np. brak potwierdzenia, brak kontroli nad tym, co działo się z dokumentami po ich wyrzuceniu),
  • angażują osoby bez upoważnień i odpowiednich procedur.

Jeśli masz wątpliwości, czy stosowane u Ciebie praktyki są bezpieczne, to dobry moment, by je zweryfikować i rozważyć przekazanie niszczenia dokumentów profesjonalnemu podmiotowi. Nasi pracownicy chętnie pomogą Ci w dopełnieniu wszelkich obowiązków prawnych z zachowaniem najwyższych standardów bezpieczeństwa danych Twojej firmy.

Najczęściej zadawane pytania

Oto najczęściej zadawane przez naszych klientów pytania dotyczące tego, jak niszczyć dokumenty zgodnie z RODO.

Jakie dokumenty należy niszczyć zgodnie z RODO?

Polityka retencji i niszczenia dokumentów RODO dotyczy wszystkich dokumentów zawierających dane osobowe, zarówno papierowych, jak i elektronicznych. Mogą to być m.in. umowy, faktury, CV, listy obecności, e-maile czy notatki służbowe. Nawet pozornie nieistotne informacje, jeśli umożliwiają identyfikację osoby, powinny być odpowiednio zniszczone. W celu prawidłowego niszczenia danych skontaktuj się z nami.

Czy można zlecić niszczenie dokumentów firmie zewnętrznej?

Tak, RODO dopuszcza przekazanie procesu niszczenia firmie zewnętrznej, na podstawie zawarcia odpowiedniej umowy powierzenia przetwarzania danych. Współpracę z nasza firmą z powodzeniem podjęło już wiele firm z różnych branż.

Jakie metody niszczenia danych są zgodne z RODO?

RODO nie narzuca konkretnej technologii, ale wymaga trwałego i nieodwracalnego zniszczenia danych. W przypadku dokumentów papierowych najczęściej stosuje się niszczenie zgodne z normą DIN 66399. Nośniki elektroniczne powinny być zniszczone fizycznie lub nadpisane specjalistycznym oprogramowaniem w sposób uniemożliwiający ich odzyskanie.

Powrót do listy artykułów

Zobacz także

Certyfikaty zniszczenia dokumentów – czy są potrzebne w branży ubezpieczeń?
Jak wdrożyć politykę niszczenia dokumentów w agencji ubezpieczeniowej?
Bezpieczeństwo danych w firmie – jak o nie zadbać?
Audyt RODO – jak się do niego przygotować?
Dane osobowe zwykłe a dane osobowe wrażliwe – na czym polega różnica?
Co zrobić z dokumentami przy przeprowadzce firmy?
Niszczenie dokumentów w szkołach
Bezpieczne niszczenie dokumentów w biurze nieruchomości
Niszczenie dokumentów w outsourcingu
Bezpieczne niszczenie dokumentów w sklepie internetowym
Firmy ubezpieczeniowe a niszczenie danych klientów – jakie są zasady?
Niszczenie dokumentów w kancelarii prawnej
Bezpieczne niszczenie dokumentów w placówkach szkoleniowych
Alternatywy dla papierowych dokumentów – czy cyfryzacja rozwiąże problem niszczenia?
Jak zmniejszyć ilość dokumentów wymagających niszczenia?
Czy niszczenie dokumentów może przyczynić się do zmniejszenia śladu węglowego?
Niszczenie dokumentów sklepów stacjonarnych
Niszczenie danych bankowych
Niszczenie danych studentów i absolwentów
Klasy niszczenia dokumentów
Niszczenie materiałów reklamowych zawierających dane osobowe
Certyfikat zniszczenia dokumentów - co powinien zawierać?
Norma DIN 66398 w niszczeniu dokumentów i danych
Jak często należy niszczyć dokumenty firmowe?
Jakie dokumenty powinny być niszczone natychmiastowo?
Jaką niszczarkę do biura wybrać?
Jak przygotować dokumenty do zniszczenia?
Niszczarka do biura - czy warto?
Jakie dokumenty z sądowego archiwum mogą zostać zniszczone?
Utylizacja dokumentacji medycznej — jak prawidłowo przeprowadzić proces niszczenia?
Niszczenie dokumentów w kancelarii prawnej - jak pozbyć się dokumentów niejawnych?
Jak długo przechowywać dokumenty po zamknięciu działalności?
Jakie są ceny utylizacji dokumentów we Wrocławiu?
Które dokumenty można wyrzucić w 2025, a które trzeba zarchiwizować?
Czy dyski zewnętrzne i pendrive z danymi trzeba poddać profesjonalnemu niszczeniu?
Bezpieczeństwo informacji a niszczenie dokumentów - jak to się łączy?
Rodzaje usług mobilnego niszczenia danych - co warto wybrać dla swojej firmy?
Dlaczego ważne jest profesjonalne niszczenie dokumentów?
Kiedy konieczne jest zorganizowanie profesjonalnego niszczenia dokumentów
Niszczenie dokumentów a RODO - co trzeba wiedzieć?
Niszczenie dokumentów w różnych branżach - jakie są specyficzne wymagania?
Kiedy należy postawić na profesjonalne niszczenie danych elektronicznych?
Czym jest mobilne niszczenie danych i kiedy warto z niego skorzystać?
Przepisy dotyczące niszczenia dokumentów - co warto wiedzieć?
Ile kosztuje niszczenie dokumentów?
Kiedy można niszczyć dokumenty księgowe?
Dlaczego warto skorzystać z usług profesjonalnej firmy niszczącej?
Kiedy i w jaki sposób należy pozbyć się dokumentacji medycznej?
Jakie konsekwencje wiążą się z niewłaściwym zniszczeniem danych?
Jak oszacować koszty usługi niszczenia dokumentów?
Jak należy odpowiednio przygotować dokumenty do zniszczenia?
5 aspektów, na które należy zwracać uwagę przy wyborze firmy zajmującej się niszczeniem dokumentów
Ścinki z niszczarki. Co z nimi zrobić?
Niszczenie dokumentów w biurowej niszczarce – wady i zalety
All rights reserved © Rhenus Office Systems Poland Sp. z o.o.