Rozporządzenie o Ochronie Danych Osobowych (RODO) obowiązuje od 2018 roku, ale wciąż wiele firm nie ma pewności, jak prawidłowo niszczyć dokumenty zawierające dane osobowe. Błędy w tym obszarze mogą kosztować nawet do 20 milionów euro kary – warto więc wiedzieć, co mówią przepisy.
Co mówi RODO o niszczeniu danych?
Artykuł 32 RODO nakłada na administratorów danych obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo przetwarzania danych osobowych. Dotyczy to również trwałego usuwania danych, gdy nie są już potrzebne.
Kluczowe zasady:
1. Minimalizacja przechowywania
Dane osobowe można przechowywać tylko tak długo, jak jest to niezbędne do celów, dla których zostały zebrane. Po upływie okresu archiwizacji (wynikającego z przepisów prawa lub umowy) dokumenty należy bezpowrotnie zniszczyć.
Przykład: Dokumenty kadrowe pracownika można przechowywać przez 10 lat po ustaniu stosunku pracy (zgodnie z przepisami emerytalnymi), ale po tym okresie muszą zostać zniszczone.
2. Trwałe i nieodwracalne zniszczenie
RODO wymaga, aby dane zostały usunięte w sposób uniemożliwiający ich odtworzenie. Wyrzucenie dokumentów do śmieci nie spełnia tego warunku – każdy może je odzyskać i wykorzystać.
Co to oznacza w praktyce?
- Dokumenty papierowe muszą trafić do niszczarki o odpowiedniej klasie bezpieczeństwa (zgodnej z normą DIN 66399)
- Im bardziej wrażliwe dane, tym wyższa klasa niszczenia (P-3 do P-7)
- Proces niszczenia powinien być udokumentowany protokołem
3. Umowy powierzenia z podmiotami przetwarzającymi
Jeśli korzystasz z zewnętrznej firmy do niszczenia dokumentów (takiej jak PaperAway), musisz z nią zawrzeć umowę powierzenia przetwarzania danych osobowych.
Co powinna zawierać taka umowa?
- Zakres powierzonych danych
- Zobowiązanie do zachowania poufności
- Obowiązki podmiotu przetwarzającego (np. niszczenie zgodnie z normą DIN 66399)
- Procedury postępowania w razie naruszenia danych
- Prawo administratora do kontroli procesów
Jakie dokumenty muszą być niszczone zgodnie z RODO?
Wszystkie dokumenty zawierające dane osobowe, w tym:
✔ Dokumentacja kadrowa – umowy o pracę, CV, świadectwa, badania lekarskie
✔ Dokumentacja płacowa – listy płac, umowy zlecenia, PIT-y
✔ Dokumentacja klientów – umowy, faktury z danymi osobowymi, korespondencja
✔ Dokumentacja medyczna – karty pacjentów, wyniki badań, skierowania
✔ Dokumentacja ubezpieczeniowa – wnioski, polisy, wypłaty odszkodowań
✔ Dokumentacja bankowa – wnioski kredytowe, historie transakcji
Uwaga: Nawet notatki służbowe, wydruki mailowe czy drafty umów mogą zawierać dane osobowe i wymagają bezpiecznego niszczenia.
Jak wybrać odpowiednią klasę niszczenia?
Norma DIN 66399 definiuje siedem klas bezpieczeństwa niszczenia (P-1 do P-7). Wybór klasy zależy od stopnia poufności danych:
| Klasa | Typ danych | Przykłady dokumentów |
|---|---|---|
| P-1, P-2 | Ogólne, niepubliczne | Ulotki, ogłoszenia wewnętrzne |
| P-3, P-4 | Dane osobowe, dokumenty wewnętrzne | Faktury, umowy, CV, dokumenty kadrowe |
| P-5, P-6, P-7 | Dane ściśle poufne | Dokumentacja medyczna, dane wrażliwe, tajemnice przedsiębiorstwa |
Rekomendacja dla większości firm: klasa P-4 zapewnia wysoki poziom bezpieczeństwa przy rozsądnych kosztach i jest odpowiednia dla większości dokumentów zawierających dane osobowe.
Jakie kary grożą za nieprawidłowe niszczenie dokumentów?
RODO przewiduje kary finansowe do 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa (w zależności od tego, która kwota jest wyższa).
Przykłady naruszeń:
- Wyrzucenie dokumentów z danymi osobowymi do śmieci
- Brak umowy powierzenia z firmą niszczącą dokumenty
- Przechowywanie dokumentów dłużej niż jest to konieczne
- Brak dokumentacji procesu niszczenia
Realne przypadki: W 2023 roku jedna z polskich firm została ukarana przez UODO karą 150 tys. zł za niewłaściwe przechowywanie i niszczenie dokumentacji pracowniczej. Dokumenty trafiły do niezabezpieczonego kontenera na śmieci, skąd zostały wykradzione.
Jak zapewnić zgodność z RODO przy niszczeniu dokumentów?
Krok 1: Zidentyfikuj dokumenty wymagające niszczenia
Przeprowadź audyt dokumentacji i ustal, które dokumenty zawierają dane osobowe oraz jaki jest okres ich przechowywania.
Krok 2: Wybierz certyfikowanego partnera
Współpracuj z firmą posiadającą certyfikaty zgodności z normą DIN 66399 i doświadczenie w niszczeniu dokumentów (jak PaperAway).
Krok 3: Zawrzyj umowę powierzenia
Podpisz umowę powierzenia przetwarzania danych osobowych z podmiotem niszczącym dokumenty.
Krok 4: Udokumentuj proces
Każde niszczenie dokumentów powinno być potwierdzone protokołem zniszczenia zawierającym datę, masę dokumentów i klasę bezpieczeństwa.
Krok 5: Archiwizuj dokumentację
Protokoły niszczenia przechowuj przez co najmniej 5 lat – mogą być potrzebne w razie audytu lub kontroli UODO.
Podsumowanie
Niszczenie dokumentów zgodnie z RODO to nie opcja – to obowiązek prawny. Niewłaściwe postępowanie z danymi osobowymi może kosztować firmę krocie, a także zniszczyć jej reputację. Warto więc zadbać o profesjonalne, udokumentowane niszczenie dokumentów, które zapewni spokój i zgodność z przepisami.
Masz pytania o RODO i niszczenie dokumentów?
📞 Skontaktuj się z nami – pomożemy dopasować rozwiązanie do Twojej firmy.
