Jeśli prowadzisz swój biznes, chcąc lub nie chcąc, przetwarzasz dane osobowe. Mogą to być informacje na temat Twoich pracowników, czy też klientów. Z punktu widzenia RODO, nie ma to większego znaczenia. Od maja zeszłego roku, wszelkie kwestie związane z przetwarzaniem danych osobowych reguluje Rozporządzenie o Ochronie Danych Osobowych. Termin “przetwarzanie” ma szeroki zakres i w praktyce oznacza nie tylko pozyskiwanie czy przechowywanie danych osobowych, ale także ich niszczenie. Jak zatem prawidłowo niszczyć dokumentację, aby nie narażać się na sankcje za nieprzestrzeganie RODO?
Co grozi za nieprzestrzeganie RODO?
Nieprawidłowe przetwarzanie danych osobowych może prowadzić do ich wycieku, a tym samym nieść za sobą poważne konsekwencje, zarówno dla osoby, której dane wyciekły, jak i dla podmiotu, z winy którego doszło do upublicznienia danych. System kar za naruszenie postanowień RODO, choć nie jest zbyt rozbudowany, to w praktyce może być bardzo dotkliwy dla przedsiębiorców i spółek, które będę łamać postanowienia rozporządzenia. Przewidziane zostały dwie główne sankcje: karę pieniężną nawet do 10 mln Euro lub do 2% rocznych dochodów firmy, a w przypadku rażących lub cyklicznych naruszeń karę pieniężną do 20 mln Euro bądź 4% rocznych dochodów przedsiębiorstwa.
Kiedy niszczyć dokumentację?
Jednym z głównych postanowień RODO jest zakaz przetrzymywania danych osobowych przez okres dłuższy niż jest to niezbędne do realizacji celów ich przetwarzania. W rzeczywistości oznacza to, że wszelkie dokumenty zawierające dane osobowe powinny zostać zniszczone po upływie okresu ich przechowywania. Niezastosowanie się do tej regulacji może skutkować wspomnianymi karami pieniężnymi, które w przypadku stwierdzenia jakichkolwiek nieprawidłowości może na nas nałożyć Główny Inspektor Danych Osobowych. Okresy przechowywania akt będą zależeć od typu i rodzaju dokumentacji, która będzie podlegać poszczególnym przepisom prawa. Należy pamiętać, że wszystkie dokumenty zawierające dane osobowe powinny być przechowywane w taki sposób, aby dostęp do nich miały jedynie osoby powołane do tych celów. Oprócz końca okresu przechowywania, dane osobowe będziesz musiał także zniszczyć lub usunąć, jeśli stracą przydatność do dalszego przetwarzania (np. na skutek zmiany celów przetwarzania), a także na wyraźne żądanie osoby, której dane są przetwarzane (realizacja prawa do bycia zapomnianym). W przypadku nośników informacji samo wycofanie z użycia lub przekazanie osobie trzeciej danego nośnika może równać się zniszczeniu bądź usunięciu zawartych na nim danych.
Jak niszczyć dokumenty zawierające dane osobowe zgodnie z RODO?
Wyciek informacji zawierającej dane osobowe nigdy nie będzie oznaczał niczego dobrego. Prócz możliwych konsekwencji prawnych może również doprowadzić do utraty zaufania wobec firmy, z której wyciekły dane. RODO nie przedstawia konkretnych rozwiązań, a jedynie stanowi swoisty drogowskaz dla każdej firmy. Prawidłowe niszczenie dokumentów polega na takim zniszczeniu nośników, na których zostały zapisane dane, aby nie był możliwy ponowne dostęp do ich treści. W kwestii nieprawidłowego niszczenia winę często ponoszą pracownicy wyrzucający dokumentację do kosza na śmieci, zamiast niszczyć ją w biurowych niszczarkach. Jednakże wina może również być obopólna, jeśli pracodawca nie wdrożył odpowiednich przepisów bezpieczeństwa i kontroli na przetwarzaniem dokumentacji w swojej firmie. Powodem nieprawidłowego niszczenia może być także pracodawca, który nie zagwarantował swoim pracownikom odpowiedniego zaplecza technicznego do niszczenia dokumentacji (np. zupełny brak niszczarek lub niedziałający sprzęt). W warunkach przeciętnego przedsiębiorstwa niszczenie dokumentacji papierowej nie powinno stanowić większych problemów – do tego celu wystarczy niszczarka biurowa zgodna z normą DIN 66399, która jasno reguluje stopnie zniszczenia dokumentacji dla poszczególnych klas poufności. Należy pamiętać że dane osobowe mogą być zapisywane także na nośnikach informacji innych niż papier. W takim wypadku biurowa niszczarka sobie nie poradzi – wtedy najlepiej zdać się na firmę profesjonalnie niszczącą dokumenty, która w bezpieczny i zgodny z prawem sposób wykona za nas cały proces. Niezbędne w takiej sytuacji jest otrzymanie z firmy outsourcingowej certyfikatu potwierdzającego zniszczenie, a w momencie przekazania dokumentacji sporządzenie umowy powierzenia danych.
Źródło: Essi – niszczenie i utylizacja dokumentów