Utylizacja dokumentów – kto jest zobowiązany i jakie dokumenty jej podlegają
Wbrew pozorom niszczenie i utylizacja dokumentacji zawierającej dane osobowe nie jest prostym zadaniem. Należy wiedzieć, które dokumenty, z uwagi na dezaktualizację, należy zniszczyć i jak to zrobić, aby nie złamać obowiązującego prawa. Poniższy artykuł zawiera garść informacji, które mogą okazać się przydatne, dla tych wszystkich, których czeka inwentaryzacja posiadanej dokumentacji.
Przepisy dot. niszczenie i utylizacja dokumentów – dla kogo?
Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych (RODO), do niszczenia i utylizacji dokumentacji z danymi osobowymi zobowiązane są podmioty publiczne (szkoły, szpitale, urzędy itp.) oraz prywatne firmy, które zajmują się przetwarzaniem danych.
Nie tylko w Unii Europejskiej!
Zasady RODO, w tym te dotyczące niszczenia dokumentacji, obowiązują nie tylko na terenie państw Unii Europejskiej. Do przestrzegania RODO zobowiązane są wszystkie firmy na całym świecie, które wykorzystują dane osobowe obywateli UE.
Decyzję o przestrzeganiu zasad europejskiej ustawy o ochronie danych osobowych podjął między innymi Mark Zuckerberg, twórca i dyrektor generalny Facebooka, który w tej sprawie przybył do siedziby Parlamentu Europejskiego. Również Microsoft wydał komunikat w sprawie przygotowywania się do RODO. Jedno z największych na świecie przedsiębiorstw z branży technologii informacyjnych zadeklarowało, że będzie przestrzegać procedury zgodne z RODO podczas obsługiwania klientów z całego świata, nie tylko z Unii Europejskiej.
Potrzeba przestrzegania postanowień zawartych w RODO wynika z chęci uniknięcia kar pieniężnych. Otóż naruszenie zasad ochrony danych osobowych grozi karą w wysokości 20 mln euro lub 4 procent obrotu firmy. W przypadku przedsiębiorstw pracujących na całym świcie, mających setki milionów klientów, konsekwencje te mogą być zdecydowanie bardziej dotkliwe. Wiedza o wycieku danych osobowych oznacza utratę zaufanych klientów, co może kosztować zdecydowanie więcej niż wspomniane 20 mln euro.
Które dokumenty (i kiedy) powinny zostać zniszczone?
Zniszczeniu i utylizacji podlegają dokumenty nieaktualne – czyli takie, których data ważności już minęła. Ich przechowywanie jedynie zwiększa możliwość wycieku danych osobowych i ryzyko, że trafią w niepowołane ręce.
Aby dowiedzieć, się które dokumenty przechowywane w firmie zdezaktualizowały się warto przeprowadzić dokładną inwentaryzację. Takie działanie pomoże ustalić, które dokumenty zawierają dane wrażliwe i czy ich przechowywanie jest konieczne. Warto zapamiętać, że przetwarzaniu, przechowywaniu podlegają tylko dokumenty gromadzące dane, które są niezbędne ze względu na cel zbierania danych.
Należy sprawdzić, czy istnieją przepisy regulujące obowiązek przetwarzania konkretnych informacji przez z góry ustalony okres. Przykładowo, zgodnie z aktualnymi zasadami, dla:
- ksiąg rachunkowych wymagany okres przechowywania to 5 lat;
- dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia – 22 lata;
- danych, które są niezbędne do monitorowania losów krwi i jej składników i gdy nastąpił zgon pacjenta na skutek uszkodzenia ciała – 30 lat;
- zarządzeń, rozporządzeń i inne wytycznych dotyczących funkcjonowania szkoły oraz protokołów rad pedagogicznych – 25 lat;
- dokumentacji określającej zasady organizacji praktycznej nauki zawodu – 10 lat.
Warto podkreślić, że obecnie obowiązujące zasady odnośnie niszczenia i utylizacji dotyczą nie tylko dokumentacji papierowej. Konsekwencją nastania ery cyfryzacji jest rosnąca ilość danych osobowych, która trafia na nośniki elektroniczne, tj. płyty CD, DVD, dyski twarde, pamięci typu flash. Dane te również powinny zostać zniszczone w momencie ich dezaktualizacji.
Niszczenie i utylizacja dokumentacji – kto się tym zajmuje?
W związku z ogromem zmian jakie do życia wniosło RODO okazało się, że wiele podmiotów państwowych i prywatnych posiada tony wszelkiego rodzaju dokumentów, które jak najszybciej należy zniszczyć. Złożoność procedury niszczenia wpłynęła pozytywnie na popularność firm, które specjalizują się w realizacji tego typu zadań. Polega to na tym, że firma otrzymująca zlecenie przekazuje zleceniodawcy pojemniki, do który zbierana jest dokumentacja. Następnie wypełnione pojemniki, odpowiednio zabezpieczone, transportowane są do miejsca, gdzie dokumentacja jest niszczona. Wiele firm decyduje się na monitoring całej procedury niszczenia, co stanowi dowód transparentności działań.