Niszczenie dokumentacji jest procesem czasochłonnym i żmudnym. Nic więc dziwnego, że większość przedsiębiorców przetwarzających duże ilości dokumentów decyduje się na zatrudnienie firmy outsourcingowej, zajmującej się profesjonalnym niszczeniem dokumentacji. Wybór taki podyktowany może być z jednej strony wygodą i oszczędnością czasu, a z drugiej brakiem odpowiedniego zaplecza biurowego wyposażonego w niszczarki spełniające obowiązujące normy bezpieczeństwa. Specjaliści w dziedzinie niszczenia często reklamują swoje usługi, stawiając na wysokie kryteria bezpieczeństwa powierzanych informacji. Jednakże czy w dobie RODO można przekazywać dokumentację zawierającą dane osobowe firmom zewnętrznym? Przecież według postanowień RODO niszczenie dokumentacji jest również jej przetwarzaniem. Czy zatem wynajmowanie do tych celów profesjonalnych firm jest w ogóle zasadne i zgodne z prawem?
Jakie są konsekwencje niestosowania się do postanowień RODO?
Choć RODO nie daje nam dokładnych instrukcji, jak przetwarzać dokumentację z danymi osobowymi, a raczej stanowi swoisty drogowskaz w tym zakresie, nie znaczy to, że jesteśmy w jakikolwiek sposób zwolnieni z przestrzegania jego postanowień. Niestosowanie się do postanowień RODO może skutkować wysokimi karami pieniężnymi. W swoim asortymencie Generalny Inspektor Danych osobowych może nałożyć na firmę nieprzestrzegającą zaleceń RODO karę nawet do 10 mln Euro lub do 2% rocznych dochodów firmy, a w przypadku rażących uchybień karę do 20 mln Euro bądź 4% rocznych dochodów przedsiębiorstwa.
Jak wygląda niszczenie dokumentacji zgodne z RODO?
Głównym problemem w przetwarzaniu dokumentacji jest brak jednoznacznych instrukcji lub kontroli nad przebiegiem procesu niszczenia. Dokumenty często zamiast do niszczarki trafiają do kosza na śmieci. Zgodnie z prawem niszczenie dokumentów powinno przebiegać w taki sposób, aby niemożliwe było ich ponowne odczytanie. W przypadku dokumentacji na papierze niszczenie nie stanowi większych problemów, gdyż może się odbywać przy pomocy niszczarki biurowej zgodnej z obowiązującą w Polsce normą DIN 66399. Problem może pojawić się w sytuacji wymagającej zniszczenia innych nośników danych, z którymi biurowa niszczarka nie jest w stanie sobie poradzić lub w przypadku, gdy proces niszczenia ma objąć ogromne ilości dokumentacji. W takiej sytuacji najlepiej zdać się na profesjonalistę z branży niszczenia dokumentów, który w sposób właściwy i bezpieczny dokona za nas utylizacji. Warto jednak pamiętać, że zwyczajowa umowa pomiędzy stronami będzie w takiej sytuacji niewystarczająca.
Czy wolno przekazywać dokumenty z danymi osobowymi firmą niszczącym dokumentację?
Oczywiście, że tak. Musi się to jednak odbyć w taki sposób, aby nie naruszyć postanowień RODO. Jak sporządzić odpowiednią umowę z firmą zewnętrzną? Sama umowa o świadczeniu usług w tym przypadku nie wystarczy. Administrator danych zlecając firmie zewnętrznej zniszczenie dokumentacji musi zawrzeć z tego rodzaju podmiotem stosowną umowę o świadczeniu usług, jednakże – znowu – sama umowa nie gwarantuje bezpieczeństwa przetwarzanej dokumentacji. Niezbędna w tej sytuacji będzie także umowa powierzenia, która zagwarantuje bezpieczeństwo przekazanych informacji. Firma, której zostaje zlecona usługa zniszczenia dokumentacji, nie będzie przetwarzać danych na swoją korzyść i we własnych celach, a jedynie niszczyć je na zlecenie administratora danych osobowych.
Jak powinna wyglądać odpowiednia umowa o powierzeniu danych?
Firma, której powierzamy własną dokumentację, musi gwarantować odpowiednie środki, aby przetwarzanie spełniało wymogi RODO. To podstawowa sprawa, bez której nie może świadczyć nam usług niszczenia dokumentów zawierających dane osobowe. Odpowiednie klauzule bezpieczeństwa i wymogów formalnych RODO możemy włączyć do standardowej umowy o świadczeniu usług. W umowie powiedzenia danych musimy jednoznacznie zweryfikować przedmiot i czas trwania przetwarzania, jego cel i charakter, określić rodzaj przetwarzanych dokumentów oraz prawa i obowiązki administratora danych osobowych. Umowa powierzenia danych w kwestiach formalnych powinna zwracać także uwagę na aspekty bezpieczeństwa: obowiązek przekazania dokumentacji w zaplombowanych pojemnikach, obowiązek sporządzenia protokołu zdawczo-odbiorczego, obowiązek przekazania administratorowi danych osobowych dokumentu potwierdzającego prawidłowe zniszczenie dokumentacji, a także możliwość personalnego monitorowania procesu niszczenia na jego dowolnym etapie.
Źródło: Essi – utylizacja dokumentów
