Sprawdź, jak zlecić usługę niszczenia dokumentów innemu podmiotowi

Przypomnijmy, że przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, ale także usuwanie lub niszczenie (art. 4 pkt 2 RODO).

Możliwości usuwania i niszczenia danych osobowych jest bardzo wiele. W praktyce najczęściej niszczenie danych osobowych polega na niszczeniu dokumentacji zawierającej dane osobowe w niszczarkach bądź na usuwaniu treści z systemu informatycznego (np. z poczty elektronicznej czy z serwerów). Czasami administratorzy decydują się po prostu na spalenie dokumentów. RODO nie wyklucza bowiem nawet tego typu fizycznego unicestwienia dokumentacji zawierającej dane osobowe.

Takie rozwiązania są wygodne w przypadku stosunkowo niewielkiej liczby dokumentów. Problem rodzi się wówczas, gdy zniszczenia wymaga duża ilość dokumentacji zawierającej dane osobowych, np. gdy zakończył się okres, w którym istniał interes prawny administratora do przetwarzania danych i w myśl reguły minimalizacji danych należy zaprzestać ich przetwarzania (przykładowo gdy zakończeniu uległ okres ochrony prawnej przed roszczeniami w okresie gwarancji, rękojmi, czy też okres przedawnienia). W takiej sytuacji warto skorzystać z usług podmiotu profesjonalnie zajmującego się niszczeniem dokumentacji.

Co oczywiste, administrator danych, który chce doprowadzić do zniszczenia dokumentacji w dużych ilościach, musi zawrzeć z podmiotem zajmującym się profesjonalnie tego typu usługami umowę o świadczenie usług, regulującą w szczególności wzajemne prawa i obowiązki usługodawcy i usługobiorcy, terminów realizacji usługi i wynagrodzenia za jej wykonanie. W kontekście bezpieczeństwa niszczonych (a więc przetwarzanych) danych osobowych zawarcie takiej umowy nie będzie jednak wystarczające. Wszak administrator danych osobowych, aby umożliwić przedsiębiorcy zajmującemu się niszczeniem dokumentów realizacje usługi, musi wydać mu te dokumenty, a więc przekazać je na zewnątrz, innymi słowy – dopuścić do jej przetwarzania przez inny podmiot. Uregulowana musi zostać również kwestia przekazania danych osobowych.

Czy w przedstawionej sytuacji należy zawrzeć umowę powierzenia przetwarzania danych osobowych? Czy też należy te dane udostępnić? Powierzenie ma miejsce najczęściej wówczas, gdy administrator danych osobowych korzysta z usług podmiotów zewnętrznych (tzw. outsourcing usług). W takiej sytuacji podmioty te przetwarzają bowiem dane osobowe na polecenie administratora i w celu przez niego wskazanym. Należy przyjąć, że przetwarzanie danych osobowych na zasadzie powierzenia odbywa się właśnie w przypadku usług profesjonalnego niszczenia dokumentacji. Nie można natomiast uznać, że przedsiębiorca świadczący usługi niszczenia dokumentacji przetwarza dane osobowe zawarte w dokumentacji swojego klienta we własnym imieniu i w ustalonym przez siebie celu, a co za tym idzie – nie można go uznać za odrębnego administratora danych osobowych.

Mając na uwadze powyższe, przedsiębiorca, który zamierza przekazać dane osobowe podmiotowi zewnętrznemu, który będzie świadczył na jego rzecz usługę niszczenia dokumentacji, musi tego dokonać w odpowiedniej formie prawnej tj. umowie powierzenia przetwarzania danych osobowych. Ewentualnością jest wprowadzenie odpowiednich klauzul dotyczących powierzenia przetwarzania danych w umowie o świadczenie usług zawieranej między stronami. W myśl art. 28 RODO podmiot przetwarzający (tu: przedsiębiorca świadczący usługi niszczenia dokumentów) musi zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą np. pracowników lub klientów.

Umowa powierzenia przetwarzania danych powinna więc w szczególności przewidywać taką gwarancję. Poza tym w umowie należy określić:

• przedmiot i czas trwania przetwarzania,
• charakter i cel przetwarzania,
• rodzaj danych osobowych
• kategorie osób, których dane dotyczą,
• obowiązki i prawa administratora.

W praktyce umowa powierzenia przetwarzania danych zawarta z firmą, która świadczy usługi w postaci niszczenia dokumentacji powinna zawierać w szczególności następujące zapisy:

• obowiązek przekazania dokumentacji w odpowiednich, specjalnie do tego celu przeznaczonych opakowaniach,
• ciążący na obydwu stronach obowiązek sporządzenia protokołu zdawczo-odbiorczego z tytułu przekazania dokumentacji (protokół powinien być podpisany przez przedstawiciela zarówno administratora danych osobowych jak i podmiotu przetwarzającego, czyli firmy świadczącej usługi w postaci niszczenia dokumentacji,
• obowiązek przekazania przez podmiot przetwarzający administratorowi dokumentu potwierdzającego zniszczenie dokumentacji (np. certyfikatu) ,
• w miarę możliwości – uprawnienie administratora danych osobowych do monitorowania procesu niszczenia dokumentacji.

Postanowienia umowne powinny gwarantować administratorowi danych osobowych odpowiedni poziom bezpieczeństwa na wypadek, gdyby przekazane na zewnątrz dokumenty trafiły nie do zniszczenia a np. na wysypisko.

Nie można wykluczyć, że zniszczenie dokumentów zawierających dane osobowe będzie leżało w intencji procesora czyli podmiotu, któremu administrator powierzył przetwarzanie tych danych osobowych. Tak jak administrator, procesor może również skorzystać z usługi niszczenia dokumentacji świadczonej przez inny podmiot. Powinien wówczas zawrzeć z tym podmiotem umowę podpowierzenia przetwarzania danych.

Wprawdzie podpowierzenie przetwarzania danych osobowych nie jest uregulowane wprost w przepisach RODO. Artykuł 28 dotyczy bowiem zasadniczo powierzenia przetwarzania danych osobowych. Niemniej jednak umowa podpowierzenia stanowi także umowę powierzenia i z tego powodu podlega rygorom art. 28 RODO. Dalsze powierzenie danych jest zatem w istocie specyficznym powierzeniem przetwarzania danych.

1. Niszczenie danych osobowych to jeden z przejawów ich przetwarzania, a zatem podmiot niszczący dane osobowe przetwarza te dane, w związku z czym podlega rygorom RODO.
2. Administrator danych osobowych może sam zniszczyć dane osobowe, ale może też skorzystać w tym zakresie z usługi podmiotu profesjonalnie zajmującego się niszczeniem dokumentacji.
3. Przekazanie dokumentacji firmie, która świadczy usługi w postaci niszczenia dokumentacji wiąże się z przekazaniem jej danych osobowych. W tym celu należy zawrzeć z tą firmą umowę powierzenia przetwarzania danych.
4. Umowa powierzenia przetwarzania danych, o której mowa w pkt 4, powinna w szczególności przewidywać zasady przekazywania dokumentacji celem jej zniszczenia i inne środki gwarantujące bezpieczeństwo przekazanych danych osobowych.
5. Wszystkie powyższe reguły dotyczą także przypadku, gdy z usług w postaci niszczenia dokumentów chce skorzystać procesor.