Aktualne rozporządzenie o ochronie danych osobowych weszło w życie 25 maja 2018 roku i choć od tej pory upłynęło już trochę czasu, wciąż w niektórych kwestiach nastręcza przedsiębiorcom niemałych trudności. RODO ściśle nie określa, jak powinna przebiegać wzmiankowana ochrona danych osobowych i właśnie ten niejasny zapis wywołuje sporo problemów. RODO wymaga ochrony danych osobowych przy każdorazowym ich przetwarzaniu. Należy w tym miejscu zwrócić uwagę, że niszczenie dokumentacji również zalicza się do ich przetwarzania.
Kto jest zobowiązany do stosowania się do RODO?
Każdy podmiot – osoba fizyczna, firma, instytucja – który przetwarza dane osobowe, jest zobowiązany do zachowania postanowień RODO. Przez przetwarzanie danych osobowych rozumiemy jakiekolwiek operacje wykonywane na danych osobowych, czyli zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i niszczenie wzmiankowanych akt. W praktyce może odnosić się do choćby do CV osób aplikujących na stanowiska w danej firmie. Administrator danych powinien zadbać, aby dokumenty te w żaden sposób nie wyciekły poza obręb przedsiębiorstwa oraz aby dostęp do nich miały tylko powołane osoby. Po rozpatrzeniu podań CV osób niezatrudnionych powinny zostać zniszczone we właściwy sposób.
Jak należycie przestrzegać ochrony danych osobowych?
Niestety na to pytanie RODO nie daje jednoznacznej odpowiedzi. Nowe przepisy kładą nacisk na zwiększoną ochronę danych osobowych, jednakże nie mówią jak osiągnąć ten cel. W myśl postanowień RODO każdy podmiot sam powinien opracować odpowiednią strategię postępowania w kwestii ochrony danych osobowych. Dlatego należy stosować zabezpieczenia odpowiednie do wartości danych oraz potencjalnych zagrożeń w danym miejscu. Najlepszym możliwym rozwiązaniem byłoby przeprowadzenie analizy ryzyka i na jej podstawie wprowadzenie odpowiednich kroków zabezpieczających. Z pomocą w takich sytuacjach mogą przyjść nam firmy zewnętrzne zajmujące się audytami RODO, czy też analizą ryzyka i wdrażaniem odpowiednich narzędzi jego minimalizowania.
Co grozi za nieprzestrzeganie RODO?
Bez względu na wielkość firmy RODO przewiduje dwa rodzaje kary za wykryte naruszenia w związku z nieprzestrzeganiem należytego przetwarzania danych osobowych: do 10 mln Euro lub 2% rocznego dochodu przedsiębiorstwa oraz w przypadku, gdy naruszenia są rażące lub powtarzające się, do 20 mln Euro lub 4% rocznego dochodu przedsiębiorstwa. Ponadto istnieje możliwość łączenia tych kar.
Jak niszczyć dokumentację zgodnie z RODO?
Podobnie jak w przypadku samej ochrony danych osobowych, RODO nie daje jednoznacznej odpowiedzi, w jaki sposób powinny być niszczone dokumenty zawierające wrażliwe informacje. RODO precyzyjnie określa retencję dokumentacji, wyraźnie mówiąc, że dokumenty zawierające dane osobowe nie powinny być przechowywane dłużej niż jest to konieczne. W tych przypadkach rozporządzenie odsyła nas do rodzimego prawa, jednakże w przypadku naruszenia długości przechowywania danych osobowych mogą grozić nam dotkliwe kary określane przez RODO. Jak się przed nimi ustrzec? Należy niszczyć dokumentację zgodnie z obowiązującymi normami. W większości powinno wystarczyć uświadomienie zatrudnionych osób, że nie wyrzucamy dokumentacji do kosza, tylko niszczymy, np. przy użyciu niszczarek biurowych. Jednakże może się też zdarzyć tak, że ilość dokumentacji przeznaczonej do zniszczenia znacznie przekracza nasze możliwości, wtedy warto rozważyć profesjonalną firmę niszczącą dokumenty jako skuteczne i szybkie wyjście z sytuacji.
Jak poprawnie przekazać dokumentację firmie zewnętrznej?
Kiedy już zdecydujesz się na wybór konkretnej firmy niszczącej dokumentację, zadbaj w pierwszej kolejności o odpowiednią umowę o świadczenie usług. W przypadku firm outsourcingowych przetwarzanie danych osobowych odbywa się na zasadzie powierzenia dokumentacji. W tej sytuacji można uznać, że firma świadcząca usługi profesjonalnego niszczenia dokumentacji, nie przetwarza danych zawartych w dokumentacji swojego klienta we własnym imieniu i celu. Obok umowy o świadczenie usług powinna znaleźć się zatem odrębna umowa powierzenia danych szczegółowo określająca przedmiot i czas trwania przetwarzania, a także charakter i cel przetwarzania, rodzaj danych oraz obowiązki i prawa administratora. Ponadto firma zewnętrzna przy odbieraniu dokumentacji powinna wystawić protokół zdawczo-odbiorczy, a po zakończeniu procesu niszczenia certyfikat, ściśle określający, jakie dokumenty zostały zniszczone.
Źródło: http://niszczeniedokumentow.eu/
