Niszczenie dokumentów – czy potrzebny certyfikat?

W przepisach RODO (art. 5 ust. 2) wprost nie wskazano obowiązku uzyskiwania formalnego „certyfikatu zniszczenia” w związku z niszczeniem dokumentów zawierających dane osobowe. RODO nakłada jednak na administratora danych obowiązek rozliczalności i wykazania, że przetwarzanie danych (w tym ich usunięcie) odbyło się zgodnie z przepisami. W praktyce oznacza to, że powinni Państwo móc wykazać, iż:

  1. Dokumenty zniszczono w sposób bezpieczny (czyli uniemożliwiający odczytanie lub odzyskanie danych).
  2. Proces usuwania danych został przeprowadzony w zgodzie z odpowiednimi regulacjami, w tym z wewnętrzną polityką retencji i procedurami firmy.

Czy certyfikat jest wymagany?

  • Nie ma wprost obowiązku prawnego posiadania oficjalnego certyfikatu zniszczenia na gruncie RODO.
  • Natomiast z punktu widzenia „rozliczalności” (art. 5 ust. 2 RODO) oraz dla ewentualnej kontroli (UODO, organy skarbowe) warto dysponować udokumentowaną procedurą potwierdzającą, że dokumenty zostały usunięte w sposób spełniający wymogi bezpieczeństwa.

W jaki sposób można udokumentować zniszczenie?

  1. Protokół wewnętrzny – jeśli firma niszczy dokumenty we własnym zakresie (np. w niszczarce spełniającej określone normy bezpieczeństwa), warto sporządzić protokół, w którym wskazane będą:
    • daty i zakres (rodzaje) niszczonych dokumentów,
    • podpisy osób odpowiedzialnych za proces niszczenia,
    • informacje o zastosowanych środkach bezpieczeństwa (jaki sprzęt, jaka klasa niszczarki).
  2. Potwierdzenie z firmy zewnętrznej – jeżeli korzystają Państwo z usług przedsiębiorstwa świadczącego profesjonalne usługi niszczenia dokumentów, wówczas standardem na rynku jest wydawanie:
    • protokołu lub certyfikatu zniszczenia po zakończonym procesie,
    • czasem także dokumentacji fotograficznej lub wideo (zależy od polityki firmy).

Choć prawnie nie ma obowiązku posiadania właśnie takiego „certyfikatu”, w razie kontroli może on stanowić jednoznaczny dowód właściwego zniszczenia danych osobowych.

Inne wymogi dotyczące przechowywania i niszczenia dokumentów

  • Okres przechowywania dokumentów księgowych (faktur, zamówień itp.) wynika z przepisów podatkowych i ustawy o rachunkowości (z reguły 5 lat, liczone od końca roku kalendarzowego, w którym upłynął termin płatności podatku). Dopiero po tym okresie można dane bezpiecznie zniszczyć.
  • Dokumentacja kadrowo-płacowa (jeśli dotyczy) podlega odrębnym regulacjom i może wymagać dłuższego okresu przechowywania (np. 10 lat lub nawet 50 lat w niektórych wyjątkowych przypadkach – zależnie od daty powstania stosunku pracy i zmieniających się przepisów).

Podsumowanie

  • RODO nie narzuca obowiązku uzyskiwania urzędowego czy formalnego certyfikatu zniszczenia, ale zasada rozliczalności i dobre praktyki przemawiają za tym, by posiadać dokumentację (protokół, zaświadczenie), że niszczenie nastąpiło w sposób bezpieczny i zgodny z prawem.
  • W przypadku skorzystania z firmy zewnętrznej, uzyskanie „certyfikatu” czy protokołu zniszczenia jest standardem i stanowi dobrą praktykę dowodową w ewentualnej kontroli.
  • Należy również pamiętać o przestrzeganiu minimalnych okresów przechowywania dokumentów wymaganych przez przepisy podatkowe, rachunkowe oraz inne przepisy branżowe.

Tym samym, choć nie jest to wprost wymagane przez RODO, posiadanie potwierdzenia (np. certyfikatu czy protokołu) jest zalecane ze względu na możliwość wykazania przed organami nadzorczymi, że dane zostały skutecznie i prawidłowo usunięte.