Mimo że coraz więcej informacji zapisujemy i przechowujemy na nośnikach cyfrowych, to wciąż papierowe wersje dokumentów są w obiegu. Dane w nich zawarte często są chronione prawnie, dlatego nie można wyrzucić np. akt pracowników czy starych umów z klientami do kosza. Bywa, że dokumentacji jest tak dużo, że niszczenie dokumentów za pomocą niszczarki zajmowałoby cały czas pracy jednego z pracowników. Taka praktyka wydaje się więc mało opłacalna, dlatego wiele firm korzysta z usług zewnętrznych podmiotów. Na jakich zasadach odbywa się wtedy przekazanie dokumentów? Jakie środki bezpieczeństwa trzeba zachować?
Przekazanie dokumentów do niszczenia innemu podmiotowi – jak to zrobić?
Wpisując w wyszukiwarkę internetową hasło: niszczenie dokumentów, znajdziemy dziesiątki firm profesjonalnie i szybko świadczących taką usługę. To wygodny i bezpieczny sposób, aby pozbyć się niepotrzebnych już arkuszy z danymi, które nie powinny trafić do osób trzecich. Warto jednak wiedzieć, że nim przekaże się dokumenty takiej firmie, trzeba dopełnić kilku formalności.
RODO nakłada na administratorów danych osobowych obowiązki związane nie tylko ze zbieraniem i przetwarzaniem danych, przechowywaniem akt osobowych i innych dokumentów, ale też z ich usuwaniem. Zgodnie z definicjami zawartymi w art. 4 RODO:
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Zlecając niszczenie dokumentacji zewnętrznej firmie, przekazuje się jej zatem dane osobowe. Należy więc zawrzeć z takim podmiotem stosowną umowę, zgodną z RODO.
Niszczenie dokumentów przez inną firmę – jaką umowę zawrzeć? Co powinna zawierać?
Poza standardową umową o świadczeniu usług, jaką podpisuje się w przypadku outsourcingu, administrator danych osobowych musi przygotować także umowę powierzenia. Jak wynika z RODO, dochodzi bowiem do przekazania dokumentów, jednak cel i zakres ich przetwarzania ma być całkowicie zgodny z intencją administratora.
Podmiot, któremu powierza się dane, nazywamy procesorem. Warto też dodać, że umowę powierzenia podpisuje się nie tylko w celu zlecania usuwania danych, ale też np. kiedy księgowość prowadzi zewnętrzna firma, korzysta się z outsourcingu usług IT, hostingu itd.
Procesor, czyli w omawianym przypadku firma zajmująca się niszczeniem danych osobowych, musi zagwarantować wdrożenie odpowiednich środków technicznych i organizacyjnych, aby chronić prawa osób, których dotyczą dane.
W art. 28. pkt. 3. RODO znajdziemy elementy, jakie powinna zawierać umowa o powierzenie przetwarzania danych osobowych. Są to:
- przedmiot i czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych,
- kategorie osób, których dane dotyczą,
- obowiązki i prawa administratora.
Strony muszą ponadto ustalić obowiązek sporządzenia protokołu zdawczo-odbiorczego, przekazania potwierdzenia zniszczenia akt.
Niszczenie danych osobowych przez procesora – jak w tym wypadku należy postępować?
Może się zdarzyć, że nie administrator danych, ale procesor (np. firma księgowa) zdecyduje się na zlecenie zniszczenia dokumentacji. W takich przypadkach jest zawierana umowa podpowierzenia. Tutaj również należy kierować się zasadami, dotyczącymi umowy powierzenia. Nim jednak procesor zleci usunięcie dokumentacji, musi uzyskać na to zgodę administratora danych. Zgodnie z art. 28. pkt. 2.:
Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Co więcej, w sytuacji podpowierzenia danych na firmę zajmującą się niszczeniem dokumentów zostają nałożone takie same obowiązki w kwestii ochrony danych osobowych, zagwarantowania wdrożenia odpowiednich procedur, jak te zawarte w umowie między administratorem a podmiotem przetwarzającym. Za niedopełnienie tych obowiązków pełną odpowiedzialność ponosi podmiot pierwotnie przetwarzający dane.
