Jakie źródła prawne regulują niszczenie dokumentów z danymi osobistymi w Polsce?

W Polsce niszczenie dokumentów zawierających dane osobowe regulowane jest przede wszystkim przez Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO), które weszło w życie 25 maja 2018 roku, oraz przez polską Ustawę o Ochronie Danych Osobowych z 10 maja 2018 roku, która dostosowała krajowe prawo do wymogów RODO.

Te akty prawne stanowią kompleksową ramę dla wszystkich podmiotów przetwarzających dane osobowe, zarówno publicznych, jak i prywatnych, zobowiązując je do zapewnienia bezpieczeństwa danych na każdym etapie ich cyklu życia, włączając w to ich niszczenie.

Niszczenie rolek kasowych


RODO (Ogólne Rozporządzenie o Ochronie Danych Osobowych)

RODO jest unijnym rozporządzeniem, które ujednoliciło zasady ochrony danych osobowych we wszystkich krajach członkowskich UE. W kontekście niszczenia dokumentów, RODO nie precyzuje konkretnych metod, ale nakłada ogólne wymagania dotyczące bezpieczeństwa i nieodwracalności procesu.

Kluczowe aspekty RODO dotyczące niszczenia dokumentów to:

  • Definicja przetwarzania danych: Artykuł 4 pkt 2 RODO definiuje "przetwarzanie" jako operację lub zestaw operacji wykonywanych na danych osobowych, w tym ich usuwanie lub niszczenie. Oznacza to, że niszczenie danych jest formą ich przetwarzania i musi odbywać się z zachowaniem zasad bezpieczeństwa.

  • Zasada minimalizacji danych i ograniczenia przechowywania: Zgodnie z art. 5 RODO, dane osobowe nie mogą być przechowywane dłużej, niż jest to niezbędne do realizacji celu, dla którego zostały zebrane. Po upływie tego okresu, dane powinny zostać trwale usunięte. RODO nie określa maksymalnego czasu przechowywania, pozostawiając to administratorowi danych, który powinien kierować się innymi przepisami szczegółowymi (np. Kodeksem pracy, przepisami podatkowymi).

  • Nieodwracalne zniszczenie: Niszczenie dokumentów musi prowadzić do nieodwracalnego zniszczenia nośnika w taki sposób, aby ponowne odtworzenie wrażliwych danych było niemożliwe. Dotyczy to zarówno danych papierowych, jak i tych przechowywanych na nośnikach cyfrowych (dyski, pendrive'y, płyty CD/DVD).

  • Odpowiedzialność administratora: Administrator danych jest odpowiedzialny za zapewnienie zgodności procesu niszczenia z RODO. W przypadku korzystania z usług firm zewnętrznych, konieczne jest zawarcie umowy powierzenia przetwarzania danych, która precyzuje zakres i sposób realizacji usługi oraz gwarantuje odpowiednie środki techniczne i organizacyjne ze strony podmiotu przetwarzającego. Administrator powinien również uzyskać potwierdzenie przeprowadzenia usługi, np. certyfikat zniszczenia.

  • Prawo do bycia zapomnianym: RODO gwarantuje osobom fizycznym prawo do usunięcia danych na ich żądanie, co wymaga posiadania skutecznych procedur identyfikacji i niszczenia takich dokumentów.

  • Kary za naruszenia: Niewłaściwe niszczenie dokumentów lub naruszenie zasad ochrony danych może skutkować wysokimi karami finansowymi, sięgającymi do 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa.

Pozostałości zniszczonych dokumentów


Polska Ustawa o Ochronie Danych Osobowych

Polska Ustawa o Ochronie Danych Osobowych z 10 maja 2018 roku zastąpiła poprzednią ustawę z 1997 roku i dostosowała polskie prawo do wymogów RODO. Ustawa ta wprowadziła również Prezesa Urzędu Ochrony Danych Osobowych (UODO) jako organ nadzorczy, odpowiedzialny za czuwanie nad przestrzeganiem przepisów w Polsce i nakładanie kar administracyjnych za ich naruszenie.

Ustawa ta uzupełnia RODO, precyzując obowiązki przedsiębiorców w zakresie bezpiecznego usuwania danych i określając konsekwencje złego zarządzania. Przykładowo, art. 51 Ustawy przewiduje kary grzywny, a nawet ograniczenia lub pozbawienia wolności do dwóch lat dla osób administrujących danymi osobowymi, które udostępnią je osobom niepowołanym.

Normy techniczne uzupełniające RODO

Chociaż RODO nie określa precyzyjnie metod niszczenia, istnieją międzynarodowe normy, które uzupełniają te przepisy i określają szczegółowe wymagania dotyczące niszczenia dokumentów i nośników danych. Najważniejsze z nich to:

  • ISO/IEC 21964: Norma ta zawiera zasady niszczenia dokumentów z danymi wrażliwymi, uwzględniając ich nośnik. Określa definicje, zasady niszczenia nośników informacji, wymagania dotyczące urządzeń oraz przebiegu niszczenia.

  • DIN 66399: Norma ta określa trzy klasy wymogu ochrony danych (od dokumentów wewnętrznych po poufne i tajne) oraz siedem poziomów bezpieczeństwa, które precyzują maksymalną wielkość ścinków po zniszczeniu dla różnych typów nośników (papier, nośniki magnetyczne, elektroniczne, optyczne, klisze, mikrofilmy, dyski HDD). Firmy specjalizujące się w niszczeniu dokumentów często dysponują sprzętem zgodnym z tą normą.

Praktyczne aspekty niszczenia dokumentów

Podmioty przetwarzające dane osobowe mają dwie główne opcje niszczenia dokumentów:

  1. Samodzielne niszczenie: Mniejsze firmy mogą zdecydować się na zakup odpowiednich niszczarek. Ważne jest, aby sprzęt zapewniał odpowiedni stopień bezpieczeństwa zgodny z normą DIN 66399, a pracownicy byli przeszkoleni z zakresu przepisów ochrony danych osobowych.

  2. Korzystanie z usług wyspecjalizowanych firm: W przypadku dużych ilości dokumentów lub braku odpowiedniego sprzętu, zaleca się skorzystanie z usług profesjonalnych firm. Wymaga to podpisania umowy powierzenia przetwarzania danych, w której określone są m.in. przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych, kategorie osób, których dane dotyczą, oraz obowiązki i prawa administratora. Firma zewnętrzna powinna również zapewnić bezpieczny transport dokumentów i wydać certyfikat zniszczenia.

Niezależnie od wybranej metody, najważniejsze, aby proces niszczenia był udokumentowany, a dane nie mogły zostać odtworzone. Minimalizuje to ryzyko naruszeń i konsekwencji prawnych.

Komentarze

Prześlij komentarz

Popularne posty z tego bloga