Niszczenie dokumentów – kto może niszczyć dokumenty i co zrobić ze zbędną dokumentacją firmową?

Unijne rozporządzenie o ochronie danych osobowych (RODO) z 25 maja 2018 roku wiele zmieniło w kwestii przetwarzania wrażliwych danych. Przepisy te jasno określają procedury związane m.in. z niszczeniem i utylizacją dokumentów. Ze względu na fakt, że początek nowego roku to dla wielu firm idealny czas na archiwizację dokumentów, dziś spróbujemy wyjaśnić, jak przebiega proces niszczenia i utylizacji dokumentów, a także jak długo można przechowywać dokumenty, zanim zostaną poddane utylizacji.

Przechowywanie danych osobowych zgodnie z RODO – najważniejsze informacje

Każdego roku instytucje i przedsiębiorstwa generują duże ilości makulatury, w tym m.in. dokumenty księgowe i pracownicze, które zawierają wrażliwe dane na temat firmy oraz pracowników. Zgodnie z RODO mają one obowiązek magazynowania tej dokumentacji przez określony czas, a następnie skierowania jej do utylizacji. Zgodnie z aktualnymi przepisami okres przechowywania dokumentacji w firmie wynosi:

dokumenty księgowe (księgi rachunkowe, kopie rachunków, kopie i oryginały faktur) – 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku;

dokumenty zgłoszeniowe, rozliczeniowe i płatnicze ZUS – 5 lat;

dokumentacja pracownicza (m.in. listy płac, karty wynagrodzeń) – 50 lat od dnia zakończenia pracy przez danego pracownika.

Po upływie wskazanych terminów przedsiębiorstwo ma obowiązek natychmiastowego zniszczenia dokumentacji zgodnie ze stopniem tajności wskazywanym przez normę DIN 66399. Warto przy tym zaznaczyć, że aktualne zasady dotyczące niszczenia i utylizacji dokumentów dotyczą nie tylko dokumentacji papierowej.

W miarę postępu cyfryzacji coraz więcej dokumentacji zawierającej dane osobowe trafia na nośniki elektroniczne, takie jak np. płyty CD, dyski twarde i pamięci flash. Tego typu dane również powinny być niszczone dopiero w momencie ich dezaktualizacji.

Niszczenie i utylizacja dokumentów – kto musi o tym pamiętać?

Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych do niszczenia i utylizacji dokumentacji zawierającej dane osobowe zobligowane są wszystkie podmioty publiczne (m.in. szkoły, szpitale, urzędy), jak również prywatne firmy, które zajmują się przetwarzaniem danych osobowych. Warto również dodać, że przepisy te dotyczą nie tylko firm z krajów Unii Europejskiej. Do przestrzegania zasad RODO zobowiązane są firmy z całego świata, które przetwarzają dane osobowe obywateli UE.

Pilnowanie kwestii związanych z niszczeniem i utylizacją dokumentów jest ważne z co najmniej dwóch powodów. Naruszenie jakichkolwiek zasad związanych z RODO grozi karami pieniężnymi na poziomie 20 milionów euro lub 4% całkowitego rocznego obrotu firmy, co może okazać się bardzo dotkliwe dla dużych przedsiębiorstw pracujących na całym świecie. Po drugie, wyciek danych osobowych w wyniku nieprawidłowej utylizacji dokumentów może spowodować utratę zaufania wśród klientów, a co za tym idzie, poważnie nadszarpnąć reputację firmy.

Kto zajmuje się niszczeniem i utylizacją dokumentów?

Każda firma musi zadbać o to, by informacje znajdujące się na dokumentach były niemożliwe do odczytania po ich zniszczeniu. Oznacza to, że nie możemy jedynie podrzeć kartki na kawałki lub jedynie zarysować płytę CD. Cały proces niszczenia należy przeprowadzić na jeden z dwóch sposobów:

niszczenie dokumentów w profesjonalnej niszczarce – takie rozwiązanie sprawdza się głównie w tych firmach, które chcą na własną rękę niszczyć dokumenty. Ważne jest jednak, by urządzenie, z którego korzystamy, było zgodne z co najmniej trzecią klasą tajności P-3 (według normy DIN 66399). Takie niszczarki często pozwalają na niszczenie nie tylko dokumentów papierowych, ale także płyt CD/DVD oraz kart kredytowych;

niszczenie dokumentów z profesjonalną firmą – ze względu na fakt, że profesjonalne niszczarki są bardzo drogie, coraz więcej przedsiębiorstw decyduje się na skorzystanie z oferty firm zewnętrznych specjalizujących się w niszczeniu i utylizacji dokumentów zawierających dane osobowe. Specjaliści przyjeżdżają do firmy, gdzie zabezpieczają wszystkie nośniki danych przeznaczone do zniszczenia, pakują je, ważą i wystawiają specjalny protokół odbioru dokumentów. Po zakończeniu procesu niszczenia firma dostarcza certyfikat potwierdzający, że wszystko przebiegło skutecznie i bezproblemowo.

Obie opcje wiążą się z koniecznością przestrzegania określonych wymogów zapewniających pełną ochronę wrażliwych danych. W przypadku korzystania z usług firmy zewnętrznej ważne jest, aby dokumenty były przekazywane w pojemnikach, które są odpowiednio zabezpieczone.

Coraz więcej firm zapewnia również możliwość monitorowania i nagrywania całego przebiegu procesu niszczenia dokumentów – począwszy od przekazania, poprzez transport, aż po zniszczenie. Stanowi to dowód transparentności działań firmy, a także daje gwarancję, że dokumenty zostały zutylizowane w prawidłowy sposób.

Na co uważać podczas korzystania z usług firm zajmujących się niszczeniem i utylizacją dokumentów?

Zgodnie z przepisami za nieprawidłowo przeprowadzoną utylizację dokumentów przez firmę zewnętrzną odpowiada zleceniodawca, czyli administrator danych. W związku z tym, zanim zdecydujemy się na współpracę z konkretną firmą, musimy mieć pewność, że posiada ona stosowne certyfikaty i uprawnienia do wykonywania tego typu zleceń.

Kluczową kwestią pod tym względem jest zgodność ich działań z normą DIN 66399 oraz ISO/IEC 21964-2:2018, które zapewniają wysoki poziom bezpieczeństwa podczas niszczenia wrażliwych danych. Tylko w ten sposób możemy mieć pewność, że informacje zawarte w dokumentacji nie dostaną się w niepowołane ręce.