Niszczenie danych a RODO
Po wejściu w życie unijnego rozporządzenia RODO zasady przetwarzania, przechowywania oraz niszczenia danych zostały uregulowane i doprecyzowane. W myśl nadrzędnej zasady tego rozporządzenia dane osobowe powinny zostać zutylizowane w taki sposób, by uniemożliwić ich ponowne odtworzenie. Nieprawidłowe niszczenie danych, w razie kontroli, grozi wysokimi karami od Generalnego Inspektora Danych Osobowy, dlatego tak ważne jest, by przeprowadzić to dobrze i skutecznie. RODO nie wskazuje metody, jak niszczyć dane - istnieje więc dowolność. Najistotniejsze z punktu widzenia unijnego rozporządzenia zapisy to bezzwłoczne usunięcie wszystkich danych w stosunku do których ustał interes prawny administratora do ich przetwarzania.
Niszczenie danych - aktualnie obowiązująca norma
Obecnie w zakresie niszczenia dokumentów obowiązuje norma DIN 66399, którą opracował niemiecki Komitet Normalizacyjny ds. Technik Informacyjnych i ich Zastosowań (Standards Committee for Information Technology and Applications). Norma ta powstała w związku z dynamicznym rozwojem i pojawieniem się innych nośników danych niż papierowe, by uwzględniać nowe potrzeby i technologie. DIN 66399 reguluje wymogi i obowiązki w zakresie bezpiecznego niszczenia dokumentów i nośników danych. Znajomość tej normy jest niezbędna w branży niszczenia danych, a także u producentów urządzeń i systemów niszczących.
W zapisach DIN 66399 wyodrębniono 6 rodzajów nośników danych, m.in. płyty CD/DVD, dyski twarde, karty pamięci, karty chipowe oraz karty z taśmą magnetyczną. Norma ta wyodrębnia także 3 klasy ochrony danych: pierwsza klasa powinna zagwarantować standardowy poziom ochrony, druga klasa - stosowana w przypadku poufnych dokumentów dostępnych dla wąskiego grona osób - wymaga zwiększonej ochrony danych. Ostatnia - klasa ochrony 3 - to najwyższy poziom ochrony, obejmuja ona dane poufne i tajne, których ujawnienie groziłoby firmie lub instytucji bardzo poważnymi konsekwencjami.
Niszczenie danych i nośników danych - samodzielnie czy zlecić to wyspecjalizowanemu podmiotowi?
Podmiot przetwarzający i przechowujący dane osobowe - na fizycznych nośnikach lub w formie elektronicznej - może sam podjąć się zadania ich zniszczenia w momencie, gdy ustanie interes prawny do ich przetwarzania. Można także skorzystać z usług wyspecjalizowanego w tym zakresie podmiotu. By wszystko odbywało się w zgodzie z prawem i aktualnie obowiązującymi przepisami, przed przekazaniem nośników lub danych do zniszczenia należy podpisać stosowną umowę, w której zostanie określony zakres działania, obowiązki podmiotu, terminy realizacji i wynagrodzenie. Z punktu widzenia RODO najistotniejsza kwestia to sporządzenie umowy powierzenia danych z takim podmiotem. Firmy, które są wyspecjalizowane w niszczeniu dokumentów i nośników danych, gwarantują, że dysponują odpowiednimi środkami technicznymi i organizacyjnymi, aby usunąć dokumenty zgodnie z przepisami RODO. Po likwidacji danych podmiot, który dokonał tej czynności, powinien sporządzić protokół zdawczo-odbiorczy oraz wystawić certyfikat potwierdzający zniszczenie dokumentów (zazwyczaj dołączoną do faktury VAT).