Niszczenie dokumentów zawierających wszelkiego rodzaju dane osobowe jest obowiązkiem wynikającym z przepisów prawa. Dotyczy to także dokumentów zawierających dane wrażliwe. Co to są dane wrażliwe i jak należy je niszczyć, aby uniknąć konsekwencji prawnych i finansowych? Zachęcamy do zapoznania się z artykułem.
Dane osobowe a dane wrażliwe?
Dane osobowe został wprowadzony do polskiego prawodawstwa ustawą o ochronie danych osobowych. Przepisy wskazują, że dana osobowe to wszelkie informacje, które pozwalają zidentyfikować osobę fizyczną w sposób bezpośredni lub pośredni. Do danych, które pozwalają jednoznacznie określić osobę fizyczną należą zarówno numery identyfikacyjne (PESEL czy NIP), jak i inne czynniki pozwalające pojedynczo lub w grupie zidentyfikować osobę na przykład cechy fizyczne, ekonomiczne, kulturowe, umysłowe albo społeczne.
Dane osobowe możemy podzielić na dane zwykłe i dane wrażliwe. Pierwsze pozwalają zidentyfikować osobę. Przykładem takich danych są na przykład PESEL czy adres poczty elektronicznej przypisany do konkretnej firmy. Drugie natomiast niosą ze sobą dodatkowe informacje. Ustawa o ochronie danych osobowych wskazuje wprost katalog danych o charakterze wrażliwym. Należą do nich informacje związane z pochodzeniem rasowym i etnicznym, przekonania religijne i poglądy polityczne, dane dotyczące stanu zdrowia, nałogach, życiu seksualnym czy danych genetycznych, a także mandatach czy skazaniach. Dodatkowo w rozporządzeniu o ochronie danych osobowych, jeszcze bardziej rozszerzono zakres danych wrażliwych, dodając do nich orientację seksualną oraz dane biometryczne.
Jak zniszczyć dokumenty z danymi wrażliwymi
Niszczenie dokumentów zawierających dane osobowe oraz dane wrażliwe musi odbywać się zgodnie z przepisami RODO. Co to oznacza? Wszystkie materiały zawierające takie informacje muszą być zniszczone w sposób uniemożliwiający odzyskanie zawartych na nich danych. Do skutecznego niszczenia dokumentacji służą maszyny — niszczarki biurowe i przemysłowe. Urządzenia te powinny zapewniać określoną klasę ochrony, która zagwarantuje właściwą utylizację dokumentów. Co ważne, dotyczy to zarówno materiałów papierowych, jak i nośników danych typu pendrive, dysk twardy, płyty CD i DVD itp. Dane wrażliwe zaliczone są do takich informacji, które podlegają 4 stopniowi bezpieczeństwa, który obejmuje nośniki zawierające dane osobowe o wyższej ochronie oraz dane szczególnie chronione i poufne. Dlatego do utylizacji materiałów zawierających dane wrażliwe należy stosować niszczarki zapewniające 4 stopień zniszczenia nośnika danych — czyli 4 (w przypadku niszczarek do papieru powinny mieć one symbol P-4). Urządzenia takie pozwalają na skuteczną utylizację materiałów papierowych w zasadzie uniemożliwiającą odczytanie z nich informacji. Niszczarki do papieru posiadające symbol P-4 tną kartki na ścinki o maksymalnej powierzchni 160 mm2.
Warto dodać, że precyzyjne niszczenie dokumentacji najlepiej przekazać specjalistycznym firmom, które specjalizują się w tego typu działalności. Dysponują one przemysłowymi niszczarkami, które posiadają wydajność niszczenia nawet 300 kg papieru w ciągu 1 godziny.
Czy konieczne jest niszczenie dokumentów z danymi wrażliwymi?
Prawidłowe, zgodne z RODO niszczenie dokumentów leży nie tylko po stronie osób fizycznych, do których dane te należą, ale również po stronie firm przetwarzajacych te informacje. Warto podkreślić, że RODO wskazuje w swoich przepisach możliwość nakładania kar pieniężnych za naruszanie przepisów o ochronie danych osobowych. Co ważne, kary te mogą dotyczyć wszystkich, nie tylko firm, ale także instytucji czy organizacji. Różnią się one wysokością, jednakże mogą być dotkliwe dla każdego podmiotu. Najwyższą karą przewidzianą w RODO jest 20 mln Euro a dla firm nawet 4% całkowitego obrotu z poprzedniego roku obrotowego.
W Polsce, z powodu naruszenia przepisów o ochronie danych osobowych ukarano już przedsiębiorstwa, instytucje oraz organizacje. Najwyższą karą pieniężną w wysokości 4.911.732 zł ukarano przedsiębiorstwo Forum Marketing and Sales Polska S.A. działające w branży energetycznej. W grupie podmiotów ukaranych znalazły się także m.in. Dolnośląski Związek Piłki Nożnej, Morele.net. sp. z o.o., Burmistrz Aleksandrowa Kujawskiego, jedna ze szkół podstawowych w Gdańsku, Główny Geodeta Kraju, podmioty prowadzące jednoosobową działalność gospodarczą, a także ENEA S.A czy Santander Bank. To pokazuje, że każdy podmiot przetwarzający dane osobowe musi, pod ryzykiem odpowiedzialności finansowej, przestrzegać przepisów zawartych w RODO.
