Svatko se od nas ili naših organizacija susreće s nužnošću uništavanja papirnate dokumentacije, u pravilu kad više nemamo mjesta u registratorima, ormarima ili u arhivama, ili jednostavno kad selimo svoje domove ili urede.
No, ipak manji dio nas, kao i naših organizacija, je svjestan činjenice da je obveza uništavanja papirnate dokumentacije definirana i u GDPR-u.
Konkretnije se radi o jednom od temeljnih načela GDPR-a u članku 5. - načelo ograničenja pohrane, koje nalaže da osobne podatke moramo čuvati u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju.
Drugim riječima, ako imamo osobne podatke u papirima i nemamo više opravdanu svrhu, nužnost ili zakoniti temelj zadržavati ih, trebamo ih sigurno i trajno uništiti.
K tome moramo dodati i obvezu provođenja sigurnosnih mjera uništavanja papirnate dokumentacije prema članku 32. GDPR-a, odnosno, prilikom uništavanja dokumentacije moramo paziti da slučajno ne uništimo nešto što nismo smjeli i nije dozvoljeno, ali i da osiguramo da se papiri s osobnim podacima pripremljeni za uništavanje ne izgube u svom čekanju, da netko neovlašten njima ne pristupi i uzme ih ili neovlašteno kopira.
Postoji više načina uništavanja papirnate dokumentacije, ali dva su temeljna:
1. Sami ih uništavamo uništavačima papira ili drugim primjerenim postupcima, prije zbrinjavanja otpada
2. Postupak uništavanja prepuštamo vanjskim tvrtkama koje pružaju takve usluge.
Kad je u pitanju točka 1., jasno je da uništavači papira (schreder) postaju sve zastupljeniji u uredima i domovima, uskoro ćemo ih kupovati kao bijelu tehniku za kućnu uporabu.
Međutim, postupak iz točke 2. nije tako banalan i moramo biti vrlo oprezni.
Upravo ovih dana susreli smo se s nekim tvrtkama koje profesionalno nude usluge uništavanja papirnate dokumentacije i nismo baš zadovoljni njihovim poznavanjem GDPR-a i mjerama zaštite informacija i osobnih podataka u papirnoj dokumentaciji.
Mi, bez obzira bili fizička ili pravna osoba, odgovorni smo za postupanje s osobnim podacima prema GDPR-u.
To znači i da moramo, po isteku rokova zadržavanja, na siguran način ih učiniti potpuno nedostupnima ili nečitljivima s nemogućnošću oporavka i ponovne njihove obrade.
Ako angažiramo vanjske tvrtke da to rade umjesto nas, angažirali smo izvršitelja obrade prema GDPR-u.
Da, i brisanje i uništavanje osobnih podataka je jedna vrsta obrade osobnih podataka prema definiciji iz članka 4. točke 2. GDPR-a.
Pri tom ne smijemo zaboraviti da izvršitelj obrade prije samog uništavanja ima puni pristup osobnim podacima na papirima koji još neko vrijeme stoje negdje u redu za uništavanje, bez obzira radilo se o satima, danima ili tjednima do konačnog uništenja.
S obzirom da smo angažirali vanjsku tvrtku - izvršitelja obrade, moramo slijediti članak 28. GDPR-a i sklopiti ugovor s izvršiteljem u kojem se definiraju:
- načini izvršenja usluge uništavanja, uključujući i načine otpreme ili dopreme pisane dokumentacije te njenog preuzimanja
- vođenje evidencija zaprimljene pisane dokumentacije kako bi po uništavanju u pisanoj formi izvršitelj obrade potvrdio da je izvršio tu vrstu obrade osobnih podataka
- obvezu izvršitelja obrade da osigurava tražene tehničke i organizacijske mjere sigurnosti osobnih podataka, ponajprije za postupke prikupljanja ili preuzimanja pisane dokumentacije, njenog skladištenja do uništavanja i očuvanja njene povjerljivosti
- obvezu izvršitelja obrade da osigurava i povjerljivost zaposlenika izvršitelja obrade
- rokove izvršenja, što kraći to bolji
- obveze izvršitelja u slučaju povrede osobnih podataka, odnosno, nestanka dijela pisane dokumentacije, neovlaštenog kopiranja ili ako ih vjetar raznese s dvorišta po cijelom kvartu
- omogućavanje inspekcija voditelja obrade nad izvršiteljem obrade i dokazivanje usklađenosti.
U tu svrhu mogu se iskoristiti i Standardne ugovorne klauzule Europske komisije iz lipnja 2021.:
https://ec.europa.eu/info/law/law-topic/data-protection/publications/standard-contractual-clauses-controllers-and-processors
Photo by GDPR Croatia