Prowadząc jakąkolwiek działalność gospodarczą bardzo prawdopodobne jest, że przetwarzasz dane osobowe swoich klientów bądź pracowników. Wszelkie kwestie związane z przetwarzaniem danych osobowych ściśle określają postanowienia RODO. Często jednak zapominamy, że nawet samo przechowywanie lub niszczenie dokumentacji jest także jej przetwarzaniem. Jak więc archiwizować i niszczyć dane osobowe zgodnie z wytycznymi RODO?
Archiwizowanie dokumentacji zgodne z RODO
RODO wyraźnie zakazuje przechowywania danych osobowych przez okres dłuższy niż jest to niezbędne. W praktyce oznacza to, że dokumenty zawierające dane osobowe powinny zostać niezwłocznie zniszczone po upływie okresu ich przechowywania. Niezastosowanie się do tych postanowień może skutkować dotkliwymi karami pieniężnymi w wysokości nawet do 20 mln Euro lub do 4% rocznych dochodów firmy. Długość poszczególnych okresów przechowywania akt zależy od typu i rodzaju dokumentacji. Dokumenty możemy podzielić na trzy główne grupy: dokumentację kadrowo-płacową, medyczną i finansową. W skład każdej grupy wchodzą poszczególne typy dokumentów do których ściśle przypisane są okresy ich przechowywania regulowane przez ustawy obowiązującego prawa. Ponadto wszystkie dokumenty zawierające dane osobowe powinny być przechowywane w taki sposób, aby dostęp do nich był ograniczony dla osób niepowołanych.
Przechowywanie w praktyce: w jakich sytuacjach powinniśmy je zakończyć?
W praktyce najczęstszymi sytuacjami zmuszającymi Cię do usunięcia bądź zniszczenia informacji zawierających danych osobowe będą:
- upływ okresu przetwarzania danych osobowych regulowany przez ustawy prawa,
- utrata przydatności danych osobowych przed upływem wyznaczonego okresu ich przetwarzania,
- wyraźne żądanie osoby, której dane są przetwarzane w wyniku realizacji prawa do bycia zapomnianym,
- wycofanie z użycia (np. w wyniku wymiany na nowszy) lub przekazanie osobie trzeciej (np. w celu naprawy lub serwisu) nośnika informacji wykorzystywanego do przetwarzania danych.
Różnica pomiędzy usuwaniem a niszczeniem danych osobowych
Te dwa pojęcia często stosowane są zamiennie, choć wcale nie oznaczają tych samych czynności. Usuwanie odnosi się do skasowania informacji z nośnika w taki sposób, że ich odtworzenie staje się niemożliwe przy jednoczesnym zachowaniu nośnika. W przypadku dokumentacji papierowej można usuwać informacje np. poprzez ich zaczernianie mazakiem. Niszczenie oznacza bezpowrotne unicestwienie nośnika w taki sposób, że jego ponowne odtworzenie oraz odczytanie zawartych na nim danych staje się niemożliwe. Kiedy kończy się okres przechowywania dokumentów nie musisz za każdym razem niszczyć dysków twardych czy innych elektronicznych nośników danych, na których są one zapisane – w takim przypadku wystarczy trwale skasować dane z dysku. Kiedy jednak wymieniasz przestarzałe komputery na nowe, konieczne jest trwałe zniszczenie nośników informacji, np. przy pomocy firm outsourcingowych profesjonalnie niszczących dokumentację.
Prawidłowe niszczenie dokumentacji z danymi osobowymi
Wyciek dokumentacji zawierającej dane osobowe może doprowadzić nie tylko do kar grzywny, ale także do strat wizerunkowych i materialnych firmy. Wciąż kluczowym problem w przetwarzaniu dokumentacji jest brak jednoznacznych instrukcji lub samej kontroli nad przebiegiem niszczenia dokumentów, które w wielu firmach zamiast do niszczarki trafią do kosza na śmieci. Prawidłowe niszczenie dokumentów polega na unicestwieniu nośników, na których znajdują się w taki sposób, aby niemożliwe było ich ponowne odczytanie, a tym samym dostęp do ich treści przez osoby trzecie. W przypadku dokumentacji na papierze niszczenie nie powinno stanowić większych problemów, gdyż do tego celu wystarczy zwykła niszczarka biurowa zgodna z obowiązującą w Polsce normą DIN 66399, która jasno reguluje stopnie zniszczenia dokumentacji dla poszczególnych klas poufności. Problem może pojawić się w sytuacji wymagającej zniszczenia magnetycznych, optycznych lub elektronicznych nośników danych, z którymi biurowa niszczarka nie jest w stanie sobie poradzić lub w przypadku gdy proces niszczenia obejmie duże ilości dokumentacji (np. w wyniku doprowadzania archiwum zakładowego do porządku). W takiej sytuacji najlepiej zdać się na profesjonalistę z branży niszczenia dokumentów, który w sposób właściwy i bezpieczny dokona za nas utylizacji. Warto jednak pamiętać, że zwyczajowa umowa pomiędzy stronami będzie w takiej sytuacji niewystarczająca – należy spisać także umowę powierzenia danych, a po wykonanej usłudze zażądać certyfikatu potwierdzającego zniszczenie. Tylko przeprowadzony w ten sposób proces niszczenia w firmie outsourcingowej gwarantuje nam zgodność z wymogami RODO.
