Przez niszczenie danych rozumie się niszczenie zarówno fizycznych nośników, np. dysków USB, papierowych akt czy płyt CD, ale także niszczenie danych zapisanych na nośnikach, dyskach twardych lub innego rodzaju pamięci elektronicznej.
Niszczenie danych a RODO
Po wejściu w życie unijnego rozporządzenia RODO zasady przetwarzania, przechowywania oraz niszczenia danych zostały uregulowane i doprecyzowane. W myśl nadrzędnej zasady tego rozporządzenia dane osobowe powinny zostać zutylizowane w taki sposób, by uniemożliwić ich ponowne odtworzenie. Nieprawidłowe niszczenie danych, w razie kontroli, grozi wysokimi karami od Generalnego Inspektora Danych Osobowy, dlatego tak ważne jest, by przeprowadzić to dobrze i skutecznie. RODO nie wskazuje metody, jak niszczyć dane - istnieje więc dowolność. Najistotniejsze z punktu widzenia unijnego rozporządzenia zapisy to bezzwłoczne usunięcie wszystkich danych w stosunku do których ustał interes prawny administratora do ich przetwarzania.
Niszczenie danych - aktualnie obowiązująca norma
Obecnie w zakresie niszczenia dokumentów obowiązuje norma DIN 66399, którą opracował niemiecki Komitet Normalizacyjny ds. Technik Informacyjnych i ich Zastosowań (Standards Committee for Information Technology and Applications). Norma ta powstała w związku z dynamicznym rozwojem i pojawieniem się innych nośników danych niż papierowe, by uwzględniać nowe potrzeby i technologie. DIN 66399 reguluje wymogi i obowiązki w zakresie bezpiecznego niszczenia dokumentów i nośników danych. Znajomość tej normy jest niezbędna w branży niszczenia danych, a także u producentów urządzeń i systemów niszczących.
W zapisach DIN 66399 wyodrębniono 6 rodzajów nośników danych, m.in. płyty CD/DVD, dyski twarde, karty pamięci, karty chipowe oraz karty z taśmą magnetyczną. Norma ta wyodrębnia także 3 klasy ochrony danych: pierwsza klasa powinna zagwarantować standardowy poziom ochrony, druga klasa - stosowana w przypadku poufnych dokumentów dostępnych dla wąskiego grona osób - wymaga zwiększonej ochrony danych. Ostatnia - klasa ochrony 3 - to najwyższy poziom ochrony, obejmuja ona dane poufne i tajne, których ujawnienie groziłoby firmie lub instytucji bardzo poważnymi konsekwencjami.
Niszczenie danych i nośników danych - samodzielnie czy zlecić to wyspecjalizowanemu podmiotowi?
Podmiot przetwarzający i przechowujący dane osobowe - na fizycznych nośnikach lub w formie elektronicznej - może sam podjąć się zadania ich zniszczenia w momencie, gdy ustanie interes prawny do ich przetwarzania. Można także skorzystać z usług wyspecjalizowanego w tym zakresie podmiotu. By wszystko odbywało się w zgodzie z prawem i aktualnie obowiązującymi przepisami, przed przekazaniem nośników lub danych do zniszczenia należy podpisać stosowną umowę, w której zostanie określony zakres działania, obowiązki podmiotu, terminy realizacji i wynagrodzenie. Z punktu widzenia RODO najistotniejsza kwestia to sporządzenie umowy powierzenia danych z takim podmiotem. Firmy, które są wyspecjalizowane w niszczeniu dokumentów i nośników danych, gwarantują, że dysponują odpowiednimi środkami technicznymi i organizacyjnymi, aby usunąć dokumenty zgodnie z przepisami RODO. Po likwidacji danych podmiot, który dokonał tej czynności, powinien sporządzić protokół zdawczo-odbiorczy oraz wystawić certyfikat potwierdzający zniszczenie dokumentów (zazwyczaj dołączoną do faktury VAT).