Niszczenie dokumentów przez firmę zewnętrzną a RODO

Według artykułu 2 Rozporządzenia o Ochronie Danych Osobowych (RODO), niszczenie dokumentów firm i instytucji kwalifikowane jest jako przetwarzanie znajdujących się w nich danych. Ten z pozoru niewinny zapis nakłada na przedsiębiorców dodatkowe wymagania związane z odpowiednim zabezpieczeniem procesu niszczenia, a konkretnie ochrony danych osobowych, które mogą znajdować się w zbędnych aktach.

Ponieważ wiele firm nie dysponuje odpowiednią wiedzą, zasobami ludzkimi i technologicznymi, aby sprostać wymaganiom RODO, decydują się one na zlecenie niszczenia dokumentów zewnętrznym usługodawcom. Takie posunięcie może wyeliminować niepotrzebne koszta (zakup sprzętu, szkolenie aktualnej lub zatrudnienie nowej kadry itd.), oszczędzić czas pracowników, jak również usunąć ryzyko niepoprawnego zniszczenia dokumentów i akt, które zawierają dane osobowe.

No właśnie – na co zwrócić uwagę podczas sporządzania umowy z firmą zewnętrzną, aby mieć rzeczywistą pewność, że proces niszczenia dokumentów przebiegł zgodnie z zapisami RODO?

Jak powinien wyglądać proces niszczenia dokumentów przez firmę zewnętrzną w świetle zapisów RODO?

Punktem wyjścia do zlecenia firmie zewnętrznej usługi niszczenia dokumentów jest sporządzenie odpowiedniej umowy powierzenia danych. Umowa taka musi być podpisana przed lub w chwili przekazania dokumentów – niezależnie czy w formie elektronicznej, czy fizycznej. Na jej mocy Administrator danych (zlecający) powierza dane Procesorowi (firmie niszczącej), który zobowiązuje się przetworzyć je wyłącznie w zakresie objętym umową.

Oprócz powyższej umowy powierzenia danych, która powinna określać zakres, cel i okres przetwarzania danych przez Procesora oraz prawa Administratora, zlecający powinien sporządzić również osobną umowę na realizację usługi. W dokumencie tym warto zawrzeć informacje o dacie realizacji, prawach i obowiązkach obydwu stron umowy oraz wysokość wynagrodzenia.

Bezpieczeństwo danych podczas niszczenia i zgodność realizacji usługi z RODO

Warunki formalne zlecenia usługi niszczenia dokumentów są warunkiem koniecznym, ale niewystarczającym, aby dane zawarte w aktach były bezpieczne, a pozbycie się ich zgodne z prawem. Wybierając firmę dokonującą niszczenia dokumentów w imieniu przedsiębiorstwa, należy zwrócić uwagę na kilka ważnych aspektów dotyczących zarówno usługobiorcy, jak i procesu realizacji usługi.

Po pierwsze, warto sprawdzić kwalifikacje kadry, doświadczenie i opinie o firmie. Nie bez znaczenia są również posiadane przez nią certyfikaty jakości i bezpieczeństwa, takie jak ISO 9001, ISO 27001, czy DIN 66399.

Po drugie, dokumenty odbierane z firmy powinny być transportowane w specjalnych, przeznaczonych do tego celu pojemnikach. Niektóre firmy, takie jak np. Rhenus-Data, dla pełnego bezpieczeństwa przewozu, wyposażają swoje samochody transportowe w geolokalizatory, dzięki którym są w stanie śledzić miejsce ich przebywania w czasie rzeczywistym.

Po trzecie, dla pełnego bezpieczeństwa realizacji usługi, warto upewnić się, czy proces niszczenia jest nagrywany i czy można uzyskać dostęp do zarejestrowanego materiału oraz czy w przebiegu utylizacji dokumentów może brać udział oddelegowana osoba z firmy zlecającej usługę. Finalizacją umowy powinien być natomiast stosowny certyfikat potwierdzający zniszczenie dokumentów zawierających dane chronione.

Zlecenie niszczenia dokumentów firmie zewnętrznej to rozsądne rozwiązanie dla średnich i dużych firm, chociaż przy wyborze partnera do realizacji tego zadania należy być szczególnie ostrożnym. Nie warto dać się skusić atrakcyjnym cenom, ponieważ w tym wypadku znacznie ważniejsze są doświadczenie, wiedza i jakość realizacji.