Bezpieczne zarządzanie dokumentacją dla firm w całej Polsce 600 830 056
Strona główna Wiedza 5 błędów przy niszczeniu dokumentów

5 błędów przy niszczeniu dokumentów

Najczęstsze błędy przy niszczeniu dokumentów to: niszczenie bez weryfikacji okresu retencji, brak certyfikatu zniszczenia, niewłaściwy poziom bezpieczeństwa wg normy DIN 66399, pomijanie nośników elektronicznych oraz brak formalnej procedury i wyznaczonej odpowiedzialności. Każdy z tych błędów może prowadzić do poważnych konsekwencji prawnych i finansowych.

Błąd 1 -- Niszczenie bez weryfikacji okresu retencji

To najpoważniejszy i zarazem najczęstszy błąd popełniany przez firmy. Polega na niszczeniu dokumentów bez uprzedniego sprawdzenia, czy upłynął wymagany okres przechowywania. Konsekwencje mogą być dotkliwe -- od kar administracyjnych, przez problemy podczas kontroli skarbowej, aż po utratę dowodów w toczących się lub przyszłych postępowaniach sądowych.

Przepisy prawa precyzyjnie określają minimalne okresy retencji. Przykładowo, zgodnie z art. 86 Ordynacji podatkowej dokumentacja podatkowa musi być przechowywana przez 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Akta osobowe pracowników zatrudnionych przed 2019 rokiem należy przechowywać przez 50 lat (art. 51u Ustawy o narodowym zasobie archiwalnym), a dokumentację medyczną przez 20 lat (art. 29 Ustawy o prawach pacjenta).

Jak uniknąć tego błędu:

  • Przed każdą operacją niszczenia zweryfikuj dokumenty z matrycą retencji obowiązującą w firmie.
  • Upewnij się, że nie toczą się postępowania kontrolne, audytowe lub sądowe, które wymagałyby zachowania dokumentacji.
  • W przypadku dokumentów kategorii BE skonsultuj się z archiwum państwowym przed brakowaniem.
  • Prowadź rejestr dokumentów przeznaczonych do zniszczenia z datą upływu okresu retencji.

Błąd 2 -- Brak certyfikatu zniszczenia

Wiele firm zleca niszczenie dokumentów zewnętrznemu podmiotowi, ale nie upomina się o formalny certyfikat potwierdzający wykonanie usługi. To poważne uchybienie, ponieważ w razie kontroli lub audytu firma nie jest w stanie udowodnić, że dokumenty zostały zniszczone w sposób prawidłowy i bezpieczny.

Certyfikat zniszczenia dokumentów powinien zawierać:

  • Dane firmy zlecającej i firmy wykonującej usługę niszczenia.
  • Datę i miejsce przeprowadzenia niszczenia.
  • Opis zniszczonej dokumentacji -- wolumen (w kilogramach lub metrach bieżących), rodzaj dokumentów.
  • Zastosowaną metodę niszczenia i poziom bezpieczeństwa wg normy DIN 66399.
  • Podpisy osób odpowiedzialnych po obu stronach.
  • Numer certyfikatu umożliwiający identyfikację operacji.

Certyfikat stanowi dowód należytej staranności i powinien być przechowywany bezterminowo. W przypadku niszczenia dokumentów zawierających dane osobowe certyfikat potwierdza również zgodność z wymogami RODO, w szczególności z art. 5 ust. 1 lit. f dotyczącym integralności i poufności danych.

Jeśli firma niszczy dokumenty we własnym zakresie (np. za pomocą niszczarki biurowej), powinna sporządzić wewnętrzny protokół brakowania zawierający analogiczne informacje.

Błąd 3 -- Niewłaściwy poziom bezpieczeństwa (DIN 66399)

Norma DIN 66399 to międzynarodowy standard określający poziomy bezpieczeństwa niszczenia nośników danych. Definiuje ona siedem poziomów -- od P-1 (ogólne dokumenty, paski o szerokości do 12 mm) do P-7 (dokumenty ściśle tajne, cząstki poniżej 5 mm2).

Błąd polega na stosowaniu zbyt niskiego poziomu bezpieczeństwa w stosunku do wrażliwości niszczonych dokumentów. Niszczenie akt osobowych czy dokumentów finansowych na poziomie P-1 lub P-2 nie zapewnia wystarczającej ochrony -- paski papieru mogą zostać odczytane lub zrekonstruowane.

Rekomendowane poziomy bezpieczeństwa dla typowych dokumentów firmowych:

  • P-3 -- standardowe dokumenty wewnętrzne, korespondencja ogólna. Cząstki o maksymalnej szerokości 2 mm (paski) lub powierzchni 320 mm2.
  • P-4 -- dokumenty poufne, akta osobowe, dokumentacja finansowa. Cząstki o maksymalnej powierzchni 160 mm2. To minimalny zalecany poziom dla dokumentów zawierających dane osobowe.
  • P-5 -- dokumenty tajne, dane wrażliwe (np. dane o stanie zdrowia). Cząstki o maksymalnej powierzchni 30 mm2.
  • P-6 i P-7 -- dokumenty o najwyższym stopniu tajności. Stosowane w instytucjach rządowych i wojskowych.

Norma DIN 66399 obejmuje nie tylko papier (kategoria P), ale również nośniki optyczne (O), nośniki magnetyczne (T), dyski twarde (H), elektroniczne nośniki danych (E) oraz mikrofilmy (F). Przy niszczeniu dokumentacji firma powinna określić kategorię nośnika i wybrać odpowiedni poziom bezpieczeństwa.

Błąd 4 -- Pomijanie nośników elektronicznych

W dobie cyfryzacji ogromna część dokumentacji firmowej istnieje na nośnikach elektronicznych: dyskach twardych, pendrive'ach, płytach CD/DVD, taśmach magnetycznych, a także w pamięci kopiarek i drukarek wielofunkcyjnych. Tymczasem wiele firm koncentruje się wyłącznie na niszczeniu dokumentów papierowych, całkowicie pomijając dane na nośnikach elektronicznych.

To poważne zaniedbanie z perspektywy RODO. Art. 4 pkt 1 Rozporządzenia definiuje dane osobowe niezależnie od formy ich utrwalenia -- obowiązek ochrony dotyczy zarówno akt papierowych, jak i plików cyfrowych. Niezabezpieczony dysk twardy z danymi osobowymi, wyrzucony do kosza lub sprzedany ze starym komputerem, to klasyczny scenariusz naruszenia ochrony danych.

Prawidłowa procedura niszczenia nośników elektronicznych obejmuje:

  • Dyski twarde (HDD) -- degaussing (demagnetyzacja) lub fizyczne zniszczenie (rozdrabnianie). Samo formatowanie nie jest wystarczające, ponieważ dane mogą zostać odzyskane za pomocą specjalistycznego oprogramowania.
  • Dyski SSD -- nadpisanie danych certyfikowanym oprogramowaniem lub fizyczne zniszczenie. Degaussing jest nieskuteczny w przypadku pamięci flash.
  • Płyty CD/DVD -- niszczenie w niszczarce przystosowanej do nośników optycznych (kategoria O wg DIN 66399).
  • Taśmy magnetyczne -- degaussing lub fizyczne zniszczenie.
  • Pendrive'y i karty pamięci -- fizyczne zniszczenie lub certyfikowane nadpisanie.
  • Kopiarki i drukarki -- przed utylizacją lub sprzedażą należy wyczyścić pamięć wewnętrzną urządzeń.

Niszczenie nośników elektronicznych powinno być dokumentowane w takim samym zakresie jak niszczenie dokumentacji papierowej -- z certyfikatem potwierdzającym zastosowaną metodę i poziom bezpieczeństwa.

Błąd 5 -- Brak procedury i odpowiedzialności

Ostatni, ale równie istotny błąd to brak sformalizowanej procedury niszczenia dokumentów. W wielu firmach niszczenie odbywa się ad hoc -- ktoś decyduje o wyrzuceniu starych dokumentów bez formalnego procesu, ewidencji i zatwierdzenia.

Brak procedury oznacza brak powtarzalności i brak kontroli. Skutki są przewidywalne: błędy powtarzają się przy każdej kolejnej operacji, nikt nie weryfikuje prawidłowości procesu, a firma nie dysponuje żadną dokumentacją potwierdzającą zgodność z przepisami.

Formalna procedura niszczenia dokumentów powinna określać:

  1. Zakres stosowania -- jakich typów dokumentów i nośników dotyczy procedura.
  2. Osoby odpowiedzialne -- kto inicjuje proces niszczenia, kto go zatwierdza i kto nadzoruje wykonanie. Rekomendowane jest rozdzielenie tych ról (zasada czterech oczu).
  3. Częstotliwość -- jak często przeprowadzane jest niszczenie (np. kwartalnie, półrocznie, rocznie).
  4. Wymagane dokumenty -- spis dokumentacji do brakowania, wniosek o zgodę na niszczenie, protokół brakowania, certyfikat zniszczenia.
  5. Metody niszczenia -- wymagane poziomy bezpieczeństwa wg DIN 66399 dla poszczególnych kategorii dokumentów.
  6. Archiwizacja dowodów -- jak długo i gdzie przechowywane są protokoły i certyfikaty zniszczenia.

Procedura powinna być zatwierdzona przez zarząd lub osobę odpowiedzialną za bezpieczeństwo informacji w organizacji, a jej znajomość potwierdzona przez wszystkich pracowników zaangażowanych w proces.

Jak uniknąć tych błędów?

Podsumowując, bezpieczne i zgodne z prawem niszczenie dokumentów opiera się na kilku filarach:

  • Aktualna matryca retencji -- weryfikowana co najmniej raz w roku, uwzględniająca zmiany w przepisach.
  • Sformalizowana procedura -- zatwierdzona, zakomunikowana i przestrzegana przez cały zespół.
  • Certyfikowane metody niszczenia -- zgodne z normą DIN 66399, dopasowane do poziomu wrażliwości dokumentów.
  • Kompletna dokumentacja -- od spisu dokumentów do brakowania, przez protokół, aż po certyfikat zniszczenia.
  • Uwzględnienie nośników elektronicznych -- traktowanie danych cyfrowych z taką samą starannością jak dokumentacji papierowej.
  • Współpraca z profesjonalnym partnerem -- firma specjalizująca się w niszczeniu dokumentów zapewnia odpowiedni sprzęt, certyfikaty i wiedzę proceduralną.

Inwestycja w prawidłowy proces niszczenia dokumentów to nie koszt -- to ochrona firmy przed ryzykiem prawnym, finansowym i reputacyjnym. Kara za naruszenie RODO może sięgnąć 20 mln EUR (art. 83 ust. 5 RODO), a utrata wizerunku w wyniku wycieku danych osobowych z niezabezpieczonych dokumentów jest trudna do oszacowania.

Potrzebujesz bezpiecznego niszczenia dokumentów? Zamów bezpłatną konsultację
D
Zespół Doxart

Specjaliści od zarządzania dokumentacją z wieloletnim doświadczeniem w archiwizacji, digitalizacji i niszczeniu dokumentów dla firm B2B. Łączymy wiedzę prawną z praktycznym podejściem operacyjnym.

Powiązane strony

Usługa: niszczenie dokumentów Usługa: audyt archiwum Artykuł: checklista RODO dla dokumentacji