Większość przedsiębiorstw posiada i przetwarza dokumenty zawierające dane osobowe, a więc wrażliwe informacje odnośnie swoich klientów czy partnerów biznesowych. W myśl ustawy RODO, dane te są objęte szczególnym nadzorem i ochroną – ich przetwarzanie powinno odbywać się tylko w czasie niezbędnym do realizacji celu, a następnie muszą zostać usunięte. Jak niszczyć dokumenty zawierające dane osobowe, aby postępować zgodnie z RODO?
Zgodnie z zapisami ustawy rozporządzenia o ochronie danych osobowych, tzw. RODO (artykuł 4, punkt 2), “przetwarzanie danych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, […] usuwanie lub niszczenie.” Niszczenie dokumentów zawierających dane osobowe musi być realizowane w ściśle określonych warunkach, aby nie doszło do naruszenia przepisów.
Zniszczenie danych osobowych oznacza fizyczne unicestwienie nośnika, na którym się znajdują oraz uniemożliwienie ich ponownego odtworzenia. Z tego względu w przypadku ważnych dokumentów i akt zawierających dane wrażliwe, zwykła biurowa niszczarka może nie być dobrym rozwiązaniem. Część danych jest także przechowywanych na dyskach zewnętrznych czy pendrive’ach, a w myśl ustawy RODO utylizacja danych obejmuje także zniszczenie nośnika. Samo usunięcie danych z urządzeń może nie być wystarczające i konieczne będzie skorzystanie z usług firmy zewnętrznej. Trwała utylizacja danych osobowych musi zostać potwierdzona poprzez wypełnienie odpowiedniego protokołu.
Małe firmy w niektórych przypadkach decydują się na samodzielną utylizację danych wrażliwych, ze względu na niewielką ilość posiadanych dokumentów. W trudniejszej sytuacji są średnie i większe przedsiębiorstwa, które przetwarzają bardzo dużą ilość danych i z tego powodu kontrolowanie całego procesu wewnątrz firmy staje się uciążliwe, lub wręcz niemożliwe. Dotyczy to szczególnie szpitali, przychodni, sądów, kancelarii prawnych, biur rachunkowych, hurtowni, centrów logistycznych czy zakładów produkcyjnych. Tego typu przedsiębiorstwa najczęściej decydują się niszczenie dokumentów zawierających dane osobowe poprzez zlecenie tego zadania wyspecjalizowanym w tym aspekcie firmom zewnętrznym.
Decydując się na przekazanie firmie zewnętrznej zlecenia utylizacji dokumentów trzeba pamiętać, że za ewentualne nieodpowiednie i niezgodne z prawem niszczenie dokumentów odpowiada sam zleceniodawca, jako administrator danych. Co więc zrobić, aby mieć pewność, że proces odbędzie się zgodnie z określonymi standardami? Przede wszystkim należy sprawdzić, czy firma zewnętrzna, której zostanie przekazane zlecenie zniszczenia dokumentów zawierających dane osobowe posiada właściwe certyfikaty i uprawnienia. Jednym z najważniejszych jest zgodność z nowymi normami DIN 66399, które określają wysoki stopień bezpieczeństwa niszczenia informacji. Zlecenia utylizacji dokumentów powinno tylko powierzać się firmom spełniającym te restrykcje.