niszczenie dokumentów firmowych
Prawo

Jak udokumentować niszczenie dokumentów firmowych, by spełnić RODO?

Papierowe teczki puchną, skrzynki mailowe pękają, a w szufladzie leży stary dysk. W JDG to codzienność. Gdy przychodzi porządek, pojawia się pytanie: co zniszczyć, co zachować i jak zrobić to zgodnie z RODO, bez ryzyka dla firmy.

W tym przewodniku znajdziesz prosty plan na bezpieczne i zgodne z przepisami niszczenie dokumentów firmowych. Dowiesz się, jak ustalić okresy przechowywania, jak udokumentować zniszczenie, kiedy zlecić usługę na zewnątrz i jak poradzić sobie z nośnikami elektronicznymi.

Jak przygotować firmę jednoosobową do niszczenia dokumentów firmowych?

Najpierw ustal zasady i odpowiedzialność, później wybierz metody i harmonogram zniszczeń.
W JDG wystarczy krótka polityka retencji, w której wskazana jest podstawa prawna, okres przechowywania i sposób zniszczenia dla głównych kategorii dokumentów. Warto zrobić inwentaryzację źródeł danych. To są segregatory, korespondencja papierowa, wydruki, dyski, pendrive’y, telefony. Następnie trzeba przypisać odpowiedzialność za przegląd dokumentów i decyzję o zniszczeniu. Dobrą praktyką jest stały rytm, na przykład comiesięczny przegląd dokumentów roboczych i kwartalne niszczenie dokumentów archiwalnych. Trzeba też zdecydować, czy niszczenie dokumentów firmowych odbywa się na miejscu, czy w modelu outsourcingu. Na koniec spisz prostą procedurę krok po kroku i przygotuj dziennik zniszczeń.

Które dokumenty trzeba zniszczyć, a które przechować zgodnie z RODO?

Niszcz dokumenty po upływie uzasadnionego celu i okresu przechowywania, a obowiązkowe archiwalia trzymaj tak długo, jak wymagają przepisy.
RODO nie narzuca terminów, ale wymaga ograniczenia przechowywania do niezbędnego minimum. W Polsce okresy wynikają z prawa podatkowego, pracy i cywilnego. Przykładowo:

  • Dokumenty księgowe i podatkowe zwykle przechowuje się przez 5 lat, licząc od końca roku kalendarzowego związanego z rozliczeniem podatku.
  • Dokumentacja pracownicza, jeśli zatrudniasz, to co do zasady 10 lat dla stosunków pracy nawiązanych po 2018 roku. Dla starszych akt nawet 50 lat zgodnie z przepisami.
  • Umowy z klientami i dostawcami, reklamacje, gwarancje i korespondencja biznesowa przechowywane są do upływu terminów przedawnienia roszczeń.
  • Dane marketingowe oparte na zgodzie przetwarza się do czasu jej wycofania lub skutecznego sprzeciwu. Potem należy je usunąć.
  • Rekrutacja w JDG bez zatrudnienia kandydata. Dane przechowuje się wyłącznie na czas rekrutacji, dłużej tylko na podstawie odrębnej zgody lub w celu obrony przed roszczeniami.
  • Wydruki robocze, notatki z danymi osobowymi i kopie dokumentów tożsamości, jeśli nie są niezbędne, trzeba zniszczyć bez zwłoki.

Własny wykaz kategorii i okresów przechowywania warto dołączyć do polityki retencji. To ułatwia potem decyzję, co i kiedy trafi do zniszczenia.

Jak udokumentować proces niszczenia, by spełnić wymogi RODO?

Potrzebny jest czytelny ślad audytowy: kto, co, kiedy i jak zniszczył.
Dokumentacja zniszczenia nie ma jednego urzędowego wzoru, ale powinna zawierać:

  • Datę i miejsce zniszczenia oraz osoby odpowiedzialne.
  • Opis partii, na przykład liczba pudeł, kategorie dokumentów, zakres dat.
  • Podstawę decyzji o zniszczeniu, na przykład upływ okresu przechowywania.
  • Metodę i poziom bezpieczeństwa, na przykład DIN 66399 lub ISO/IEC 21964, jeśli dotyczy.
  • Potwierdzenie wykonania, czyli protokół z podpisem lub certyfikat zniszczenia od usługodawcy.
  • Informację o dalszym losie odpadu, na przykład przekazanie do recyklingu.

Jeśli podlegasz rejestrowi BDO, przekazanie odpadów papierowych i elektronicznych powinno być ujęte w systemie. Dodatkowym atutem bywa raport z monitoringu procesu lub lista kontrolna wypełniona przez osobę nadzorującą.

Czy warto zlecić niszczenie dokumentów firmowych czy robić to samodzielnie?

Wybór zależy od skali, ryzyka i dostępnego czasu.
Samodzielne niszczenie dokumentów firmowych daje pełną kontrolę i bywa wygodne przy małych ilościach materiałów o niskim ryzyku. Wymaga jednak odpowiedniego sprzętu. Do danych osobowych zaleca się co najmniej poziom P-4 lub wyższy. Trzeba też zadbać o bezpieczne gromadzenie, brak dostępu osób postronnych i rzetelny protokół. Outsourcing skraca czas, dostarcza certyfikat zniszczenia i zwykle podnosi poziom bezpieczeństwa dzięki standardom, stałym procedurom i systemowi pojemników. Najczęściej opłaca się, gdy mamy większy wolumen, nośniki elektroniczne lub dokumenty o podwyższonym ryzyku, a także gdy brakuje czasu na obsługę procesu.

Jak trwale zniszczyć dyski i nośniki elektroniczne zgodnie z RODO?

Wybierz metodę adekwatną do nośnika i ryzyka, a cały proces udokumentuj.
Dla dysków HDD skuteczne są nadpisywanie z weryfikacją, demagnetyzacja oraz fizyczna destrukcja w destruktorze do nośników. Dla SSD zaleca się kryptograficzne wymazanie przy włączonym szyfrowaniu lub fizyczne rozdrobnienie do drobnej frakcji, zgodnej z klasami bezpieczeństwa dla nośników elektronicznych. Nośniki USB, karty pamięci i telefony po wylogowaniu z usług i usunięciu z systemu zarządzania urządzeniami powinny przejść trwałe usunięcie danych, a w razie wątpliwości także fizyczną destrukcję. Warto stosować szyfrowanie urządzeń na etapie użytkowania. Gdy klucz szyfrujący zostanie bezpiecznie zniszczony, proces kasowania jest szybszy i łatwiej go udokumentować. Każdy etap pracy z nośnikami powinien mieć opiekuna, wpis w dzienniku i potwierdzenie zniszczenia.

Jak wdrożyć system pojemnikowy i mobilne niszczenie w JDG?

Bezpieczne pojemniki i mobilna niszczarka upraszczają porządek oraz zwiększają zgodność z RODO.
System pojemnikowy polega na stałym podstawieniu plombowanych pojemników. Wrzucasz do nich dokumenty przeznaczone do zniszczenia bez wcześniejszego segregowania na spinacze czy foldery. Odbiór odbywa się na wezwanie lub według harmonogramu. To ogranicza ryzyko dostępu osób postronnych i eliminuje przechowywanie „luzem”. Mobilne niszczenie to z kolei zniszczenie na miejscu u klienta w pojeździe z niszczarką przemysłową. Sprawdza się przy materiałach wrażliwych, gdy chcesz mieć natychmiastowe potwierdzenie. Po zakończeniu usługi otrzymujesz protokół lub certyfikat zniszczenia. Oba rozwiązania ułatwiają planowanie oraz regularne niszczenie dokumentów firmowych.

Jak zabezpieczyć dokumenty wysokiego ryzyka przed zniszczeniem?

Do chwili zniszczenia trzymaj je w strefie podwyższonego bezpieczeństwa i stosuj dodatkowe kontrole.
Za dokumenty wysokiego ryzyka uznaje się między innymi dane wrażliwe, kopie dokumentów tożsamości, dane finansowe klientów i informacje stanowiące tajemnicę przedsiębiorstwa. W praktyce warto:

  • Przechowywać je w metalowej szafie na klucz lub w sejfie.
  • Ograniczyć dostęp do wyznaczonych osób i prowadzić listę dostępu.
  • Używać zamykanych pojemników jednorazowego użytku lub plombowanych worków.
  • Wymagać dwuosobowej autoryzacji przed wyniesieniem do zniszczenia.
  • Stosować wstrzymanie zniszczenia, gdy toczy się kontrola lub spór prawny.

Takie kroki zmniejszają ryzyko wycieku i ułatwiają wykazanie należytej staranności.

Jak sporządzić praktyczną checklistę niszczenia dokumentów w JDG?

Lista powinna prowadzić Cię od klasyfikacji do potwierdzenia zniszczenia.
Przykładowe punkty do wdrożenia:

  • Inwentaryzacja miejsc, w których pojawiają się dane, papier i nośniki.
  • Klasyfikacja danych i mapa okresów przechowywania z podstawą prawną.
  • Prosta procedura decyzyjna, kiedy niszczyć, a kiedy archiwizować.
  • Wybór metody zniszczenia i poziomu bezpieczeństwa dla każdej kategorii.
  • Przygotowanie plombowanych pojemników i miejsca do tymczasowego składowania.
  • Przeszkolenie osób zaangażowanych i wyznaczenie właściciela procesu.
  • Dziennik zniszczeń i wzór protokołu lub weryfikacja certyfikatu od usługodawcy.
  • Ustalenie harmonogramu odbiorów lub terminów niszczenia wewnętrznego.
  • Obsługa odpadów i, jeśli dotyczy, rejestracja przekazania w systemie BDO.
  • Procedura na incydenty, w tym kontakt do zgłoszeń naruszeń ochrony danych.
  • Przegląd roczny, aktualizacja polityki retencji i test procesu.

Dzięki checklistcie proces jest powtarzalny, a w razie kontroli łatwy do pokazania.

Dobrze zaprojektowane niszczenie dokumentów firmowych to codzienna oszczędność czasu, mniejsze ryzyko i spokój podczas kontroli. Kluczem jest jasny podział obowiązków, stały rytm prac i dokumentowanie krok po kroku. Zacznij od krótkiej polityki retencji, a później dodawaj elementy, które realnie podnoszą bezpieczeństwo Twojej firmy.

Umów konsultację w sprawie bezpiecznego, certyfikowanego niszczenia dokumentów firmowych i nośników zgodnie z RODO.

Chcesz wdrożyć praktyczną checklistę i gotowy wzór protokołu zniszczeń, które zapewnią audytowalny ślad i zmniejszą ryzyko naruszenia RODO? Sprawdź poradnik i pobierz szablony: https://niszczenie-dokumentacji.com/dlaczego-bezpieczne-niszczenie-dokumentow-jest-kluczowe-dla-twojej-firmy/.

Powiązane treści: