utylizacja dokumentów
Prawo

Jakie zapisy umowy potwierdzą zgodną z RODO utylizację dokumentów?

Coraz więcej firm oddaje utylizację dokumentów podmiotom zewnętrznym. To wygodne, ale bez dobrych zapisów w umowie rośnie ryzyko wycieku danych i sporów. W 2025 roku klienci i urzędy oczekują dowodów zgodności z RODO. Poniżej znajdziesz zestaw klauzul, które porządkują proces i ułatwiają audyt.

Dowiesz się, jak nazwać zakres usługi, jak kontrolować łańcuch przekazania, jak potwierdzać zniszczenie oraz jak uregulować nośniki elektroniczne i podwykonawców. Dzięki temu zbudujesz umowę, która realnie zabezpiecza dane i reputację.

Jak w umowie określić zakres utylizacji dokumentów?

Zakres opisz precyzyjnie: co, po co, gdzie i w jaki sposób jest niszczone, według jakich standardów i w jakich terminach.

W umowie wskaż rodzaj materiału i formę nośnika, na przykład papier, płyty, dyski twarde, pamięci półprzewodnikowe. Opisz cel przetwarzania jako „niszczenie” oraz kryteria doboru poziomu bezpieczeństwa, na przykład zgodnie z DIN 66399 lub ISO/IEC 21964. Dodaj tryb usługi, jednorazowy lub cykliczny, miejsce realizacji, w siedzibie klienta lub u wykonawcy, oraz terminy odbioru i zniszczenia. Ustal kategorie danych i osób, zakres terytorialny oraz wymagania środowiskowe i zgodność z przepisami o odpadach. Wprowadź wymóg dokumentowania przebiegu, by łatwo wykazać zgodność z RODO.

Które obowiązki wykonawcy potwierdzą bezpieczeństwo danych?

Wykonawca powinien działać jako podmiot przetwarzający z art. 28 RODO i stosować konkretne środki techniczne i organizacyjne.

Wpisz do umowy między innymi:

  • poufność i upoważnienia personelu oraz szkolenia z ochrony danych
  • zamknięty obieg materiału, pojemniki zamykane i plomby z numerami, rejestr plomby
  • transport pod nadzorem, z kontrolą dostępu do ładunku i rejestracją zdarzeń
  • strefy niszczenia z kontrolą wejść i monitoringiem wizyjnym
  • procedury klasyfikacji i separacji materiału do zniszczenia
  • plan ciągłości działania i odtwarzania po incydencie
  • obowiązek wspierania administratora w realizacji obowiązków z RODO, w tym przy naruszeniach i żądaniach osób

Jak zapisać kontrolę łańcucha przekazywania i odbioru dokumentów?

Wprowadź pełny łańcuch dowodowy od odbioru po zniszczenie, z potwierdzeniami na każdym etapie.

Opisz standard przekazania, liczba i rodzaj pojemników, ich identyfikatory, numery plomby, masa lub objętość. Wymagaj Protokołu Odbioru z datą, miejscem, danymi osób i środków transportu. Zapisz zasady transportu, w tym brak przeładunków bez zgody oraz rejestr trasy. Po przyjęciu do niszczarni przewidź potwierdzenie przyjęcia do procesu i przypisanie partii produkcyjnej. Wymagaj przechowywania logów i dokumentacji przez uzgodniony okres, co ułatwia audyt.

Jak zapisać wymagania dotyczące niszczenia nośników elektronicznych?

Dobierz metody do rodzaju nośnika i żądaj dowodu skuteczności zgodnie z uznanymi normami.

Dla dysków twardych dopuszczalne są demagnetyzacja, czyszczenie kryptograficzne lub fizyczna destrukcja, z weryfikacją skuteczności. Dla nośników półprzewodnikowych preferuj fizyczną destrukcję lub kasowanie kryptograficzne z testem potwierdzającym. Odwołaj się do wytycznych NIST SP 800-88 lub poziomów H, E, T norm DIN 66399 lub ISO/IEC 21964. Wpisz wymaganą frakcję po rozdrobnieniu i zakaz ponownego użycia nośników przeznaczonych do zniszczenia. Zapewnij właściwe zagospodarowanie odpadów elektrycznych i elektronicznych zgodne z prawem.

Jakie protokoły i świadectwa powinien przekazać wykonawca?

Wymagaj kompletu dokumentów potwierdzających każdy etap usługi i zgodność z prawem.

  • Protokół Odbioru dokumentów z listą pojemników, numerami plomby, datą, miejscem, wagą i danymi osób
  • potwierdzenie przyjęcia do niszczenia z identyfikatorem partii
  • Protokół Niszczenia lub Certyfikat Zniszczenia z datą i godziną, zastosowaną metodą, poziomem zniszczenia według normy oraz podpisami osób odpowiedzialnych
  • dokumenty wymagane przepisami o odpadach, na przykład karta przekazania w obowiązującym systemie krajowym
  • materiał dowodowy na żądanie klienta, zdjęcia lub krótkie nagrania z procesu, logi z monitoringu, rejestry wagowe
  • dla nośników elektronicznych raport z sanizacji lub zniszczenia, na przykład log z narzędzia kasującego lub potwierdzenie frakcji po rozdrobnieniu

Jak uregulować podwykonawstwo i prawo do audytu procesu niszczenia?

Podwykonawstwo wymaga uprzedniej zgody i identycznych zobowiązań, a audyt musi być realny i wykonalny.

Zapisz wymóg uzyskania zgody na każdego podwykonawcę oraz obowiązek nałożenia na niego tych samych wymagań bezpieczeństwa i RODO. Wprowadź aktualny wykaz podwykonawców oraz obowiązek informowania o zmianach. Opisz prawo do audytu, wizyty na miejscu lub audytu zdalnego, z rozsądnym wyprzedzeniem, w godzinach pracy i z poszanowaniem tajemnic innych klientów. Ustal zasady kosztów audytu i plan działań naprawczych z terminami. Dodaj prawo do wstrzymania usługi lub rozwiązania umowy w razie poważnych niezgodności.

Jak zapisać odpowiedzialność i sankcje za naruszenie zasad RODO?

Określ szybkie zgłaszanie incydentów, zakres odpowiedzialności, kary umowne i zasady współpracy przy skutkach naruszenia.

Wprowadź obowiązek zgłoszenia naruszenia bez zbędnej zwłoki, zgodnie z RODO, wraz z zakresem informacji potrzebnych administratorowi. Opisz wsparcie w analizie ryzyka, środkach zaradczych i komunikacji z osobami, których dane dotyczą. Przewidź kary umowne za kluczowe naruszenia i odpowiedzialność za szkody spowodowane niewykonaniem lub nienależytym wykonaniem umowy, z wyłączeniem przypadków niezależnych oraz z surowszą odpowiedzialnością za winę umyślną. Wpisz prawo do rozwiązania umowy w razie poważnego lub powtarzającego się naruszenia.

Jak przygotować umowę by zapewnić zgodną z RODO utylizację dokumentów?

Wybierz umowę z powierzeniem przetwarzania jako załącznik i dołącz czytelne procedury oraz wskaźniki jakości.

Oprócz klauzul RODO opisz w załącznikach standard operacyjny, listę środków bezpieczeństwa, poziomy niszczenia, instrukcję dla nośników elektronicznych, wzory protokołów i harmonogramy. Ustal wymagalne poziomy usług, czasy reakcji i zasady raportowania. Oceń ryzyko i w razie potrzeby przeprowadź ocenę skutków dla ochrony danych. Zanim podpiszesz umowę, przeprowadź wizytę w zakładzie niszczenia lub audyt zdalny oraz test pilotażowy z partią dokumentów. Sprawdź uprawnienia środowiskowe i zgodność z prawem o odpadach. Taka konstrukcja umowy ułatwia codzienną pracę i obronę zgodności podczas kontroli.

Dobrze napisana umowa porządkuje całą utylizację dokumentów, od odbioru po potwierdzenie zniszczenia. Chroni dane, ogranicza ryzyko i daje jasne dowody zgodności. Warto poświęcić czas na precyzyjne klauzule i sprawdzenie dostawcy, bo to inwestycja w spokój i przewidywalność procesu.

Zadbaj o zgodną z RODO utylizację dokumentów, wdrażając opisane klauzule w swoich umowach jeszcze dziś.

Zadbaj o zgodną z RODO utylizację — pobierz gotowy zestaw klauzul, wzory Protokołu Odbioru i Certyfikatu Zniszczenia, które ułatwią audyt i zabezpieczą firmę przed wyciekiem danych: https://eco-team.com.pl/nasze-uslugi/niszczenie-dokumentow/.

Powiązane treści: