Usługa niszczenia dokumentów zgodnie z RODO

Przypomnijmy, że przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, ale także usuwanie lub niszczenie (art. 4 pkt 2 RODO).

Możliwości usuwania i niszczenia danych osobowych jest bardzo wiele. W praktyce najczęściej niszczenie danych osobowych polega na niszczeniu dokumentacji zawierającej dane osobowe w niszczarkach bądź na usuwaniu treści z systemu informatycznego (z poczty elektronicznej, nośników danych czy też serwerów). Czasami administratorzy decydują się po prostu na spalenie dokumentów. Ogólne rozporządzenie o ochronie danych osobowych nie wyklucza bowiem nawet tego typu fizycznego unicestwienia dokumentacji zawierającej dane osobowe. Przeczytaj także:

• Usuwanie danych osobowych z dokumentów – w praktyce

• Jak zareagować na wniosek o usunięcie danych osobowych według RODO

Takie rozwiązania są wygodne w przypadku stosunkowo niewielkiej liczby dokumentów. Problem rodzi się wówczas, gdy zniszczenia danych osobowych wymaga duża ilość dokumentacji, np. gdy zakończył się okres, w którym istniał interes prawny administratora do przetwarzania danych i w myśl reguły minimalizacji danych należy zaprzestać ich przetwarzania (przykładowo gdy zakończeniu uległ okres ochrony prawnej przed roszczeniami w okresie gwarancji, rękojmi, czy też okres przedawnienia). W takiej sytuacji warto skorzystać z usług podmiotu profesjonalnie zajmującego się niszczeniem dokumentacji.

Co oczywiste, administrator danych, który chce doprowadzić do zniszczenia dokumentacji w dużych ilościach, musi zawrzeć z podmiotem zajmującym się profesjonalnie tego typu usługami umowę o świadczenie usług, regulującą w szczególności wzajemne prawa i obowiązki usługodawcy i usługobiorcy, terminów realizacji usługi i wynagrodzenia za jej wykonanie. W kontekście bezpieczeństwa niszczonych (a więc przetwarzanych) danych osobowych zawarcie takiej umowy nie będzie jednak wystarczające. Wszak administrator danych osobowych, aby umożliwić przedsiębiorcy zajmującemu się niszczeniem dokumentów realizacje usługi, musi wydać mu te dokumenty, a więc przekazać je na zewnątrz, innymi słowy – dopuścić do jej przetwarzania przez inny podmiot. Uregulowana musi zostać również kwestia przekazania danych osobowych.

Czy w przedstawionej sytuacji należy zawrzeć umowę powierzenia przetwarzania danych osobowych? Czy też należy te dane udostępnić? Powierzenie ma miejsce najczęściej wówczas, gdy administrator danych osobowych korzysta z usług podmiotów zewnętrznych (tzw. outsourcing usług). W takiej sytuacji podmioty te przetwarzają bowiem dane osobowe na polecenie administratora i w celu przez niego wskazanym. Należy przyjąć, że przetwarzanie danych osobowych na zasadzie powierzenia odbywa się właśnie w przypadku usług profesjonalnego niszczenia dokumentacji. Nie można natomiast uznać, że przedsiębiorca świadczący usługi niszczenia dokumentacji przetwarza dane osobowe zawarte w dokumentacji swojego klienta we własnym imieniu i w ustalonym przez siebie celu, a co za tym idzie – nie można go uznać za odrębnego administratora danych osobowych.

Mając na uwadze powyższe, przedsiębiorca, który zamierza przekazać dane osobowe podmiotowi zewnętrznemu, który będzie świadczył na jego rzecz usługę niszczenia dokumentacji, musi tego dokonać w odpowiedniej formie prawnej tj. umowie powierzenia przetwarzania danych osobowych. Ewentualnością jest wprowadzenie odpowiednich klauzul dotyczących powierzenia przetwarzania danych w umowie o świadczenie usług zawieranej między stronami. W myśl art. 28 RODO podmiot przetwarzający (tu: przedsiębiorca świadczący usługi niszczenia dokumentów) musi zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą np. pracowników lub klientów.

W praktyce umowa powierzenia przetwarzania danych zawarta z firmą, która świadczy usługi w postaci niszczenia dokumentacji powinna zawierać w szczególności następujące zapisy:

• obowiązek przekazania dokumentacji w odpowiednich, specjalnie do tego celu przeznaczonych opakowaniach,

• ciążący na obydwu stronach obowiązek sporządzenia protokołu zdawczo-odbiorczego z tytułu przekazania dokumentacji (protokół powinien być podpisany przez przedstawiciela zarówno administratora danych osobowych jak i podmiotu przetwarzającego, czyli firmy świadczącej usługi w postaci niszczenia dokumentacji,

• obowiązek przekazania przez podmiot przetwarzający administratorowi dokumentu potwierdzającego zniszczenie dokumentacji (np. certyfikatu) ,

• w miarę możliwości – uprawnienie administratora danych osobowych do monitorowania procesu niszczenia dokumentacji.

Nie należy przewidywać w umowie zawieranej z firmą zajmującą się niszczeniem dokumentacji obowiązku tej firmy zwrotu otrzymanych danych osobowych. Z uwagi na to, że nastąpi zniszczenie dokumentów, a zarazem znajdujących się w nich danych osobowych, obowiązek ten byłby bowiem niewykonalny.

Nie można wykluczyć, że zniszczenie dokumentów zawierających dane osobowe będzie leżało w intencji procesora czyli podmiotu, któremu administrator powierzył przetwarzanie tych danych osobowych. Tak jak administrator, procesor może również skorzystać z usługi niszczenia dokumentacji świadczonej przez inny podmiot. Powinien wówczas zawrzeć z tym podmiotem umowę podpowierzenia przetwarzania danych.

Wprawdzie podpowierzenie przetwarzania danych osobowych nie jest uregulowane wprost w przepisach RODO. Art. 28 RODO określa bowiem instytucję powierzenia przetwarzania danych osobowych. Niemniej jednak umowa podpowierzenia stanowi także umowę powierzenia i z tego powodu podlega rygorom art. 28 RODO. Dalsze powierzenie danych jest zatem w istocie specyficznym powierzeniem przetwarzania danych.

Jeżeli procesor chce zawrzeć umowę podpowierzenia danych osobowych z firmą, która świadczy usługi w postaci niszczenia dokumentów, to powinien w tym celu uzyskać zgodę od każdego administratora danych osobowych, z którym zawarł umowę powierzenia. To jaka to ma być zgoda, w jakiej formie wyrażona, przez kogo w imieniu administratora i w jakim terminie od dnia zwrócenia się o jej wyrażenie – powinna regulować sama umowa powierzenia. Jeżeli zgody nie wyrazi konkretny administrator danych osobowych, to brak zgody wywołuje skutek wyłącznie w zakresie umowy powierzenia zawartej z tym administratorem danych.