Niszczenie dysków twardych i nośników danych - ceny, normy DIN 66399, certyfikat

Q: Czy niszczenie nośników cyfrowych można zlecić razem z niszczeniem dokumentów papierowych?

Tak — większość firm niszczących przyjmuje zlecenia łączone. Warto o tym pamiętać przy okazji porządkowania archiwum lub likwidacji biura, gdy do zniszczenia jest zarówno dokumentacja papierowa, jak i stary sprzęt z danymi.

Technik niszczy dysk twardy HDD w profesjonalnej niszczarce przemysłowej zgodnie z normą DIN 66399

Niszczenie dysków twardych i nośników danych – ceny, normy DIN 66399, certyfikat

Niszczenie nośników danych zaczyna się od jednego faktu, który większość firm ignoruje: skasowanie pliku nie usuwa danych. Sformatowanie dysku też nie. Narzędzia do odczytu usuniętych danych są dostępne bezpłatnie i działają na każdym dysku – starym laptopie z biura, dysku serwerowym przekazanym do utylizacji, pendrivie oddanym razem ze sprzętem. Dla firmy, która wycofuje sprzęt bez fizycznego zniszczenia nośników, oznacza to jedno: dane osobowe klientów, pracowników i kontrahentów mogą zostać odczytane przez każdą osobę, która wejdzie w posiadanie urządzenia.

Dlaczego kasowanie plików nie wystarczy

Na dysku twardym HDD dane są zapisywane magnetycznie na obracających się talerzach. Usunięcie pliku lub sformatowanie dysku zmienia jedynie tablicę alokacji – sam zapis magnetyczny pozostaje nienaruszony do czasu nadpisania przez nowe dane. Specjalistyczne oprogramowanie potrafi odtworzyć pliki z dysków wielokrotnie formatowanych.

Dyski SSD działają inaczej – dane są rozkładane na komórkach pamięci NAND za pomocą algorytmu wear leveling. Nawet polecenie secure erase nie gwarantuje usunięcia wszystkich kopii zapisanych w komórkach zapasowych. Nośniki flash (pendrive’y, karty SD, microSD) mają ten sam problem. Płyty CD/DVD z nagraną warstwą barwnikową można odczytać nawet po porysowaniu – nieodwracalne zniszczenie wymaga mechanicznego rozdrobnienia.

Jedyna metoda eliminująca ryzyko odczytu danych na wszystkich typach nośników to fizyczne zniszczenie przez mechaniczne rozdrobnienie lub – wyłącznie w przypadku HDD – przez demagnetyzację uzupełnioną zniszczeniem mechanicznym.

Norma DIN 66399 – klasy bezpieczeństwa dla nośników cyfrowych

DIN 66399 to norma definiująca klasy ochrony i poziomy bezpieczeństwa dla niszczenia nośników danych. W Polsce nie ma odpowiednika ustawowego – DIN 66399 jest jednak standardem stosowanym w umowach powierzenia przetwarzania danych i przyjętym w praktyce UODO.

Norma wyróżnia sześć klas ochrony (O1–O6) odpowiadających typom nośników. Dla każdej klasy określono poziomy bezpieczeństwa od 1 (niski) do 7 (najwyższy). Dla firm przetwarzających dane osobowe rekomendowane minimum to:

Nośnik	Klasa ochrony	Minimalny poziom bezpieczeństwa	Maks. rozmiar cząstki
Dyski twarde HDD	O6	E-4	160 mm²
Dyski SSD	O5	H-4	30 mm²
Pendrive’y i karty pamięci	O5	H-4	30 mm²
Płyty CD/DVD	O4	T-4	160 mm²

Biurowa niszczarka do dysków – jeśli w ogóle istnieje w danym biurze – zazwyczaj nie spełnia tych parametrów. Wymagania H-4 i E-4 spełnia wyłącznie sprzęt przemysłowy.

Osobna uwaga dotycząca demagnetyzacji: metoda działa skutecznie na dyski HDD, trwale zakłócając zapis magnetyczny. Nie działa jednak na dyski SSD, pendrive’y ani płyty optyczne, które nie opierają się na magnetyzmie. Dla tych nośników konieczne jest mechaniczne rozdrabnianie – demagnetyzacja sama w sobie nie jest wystarczająca. Szczegółowe porównanie obu metod znajdziesz w artykule Demagnetyzacja vs. fizyczne zniszczenie – porównanie metod.

Co się niszczy – rodzaje nośników i ich specyfika

Fizycznym zniszczeniem metodą mechaniczną można objąć wszystkie typowe nośniki wycofywane ze środowisk firmowych. Profesjonalna usługa niszczenia nośników cyfrowych obejmuje:

Dyski twarde HDD – serwery, komputery stacjonarne, zewnętrzne dyski archiwalne. Podatne na odczyt danych nawet po wielokrotnym formatowaniu. Demagnetyzacja + rozdrabnianie to jedyna metoda dająca pewność.
Dyski SSD – laptopy, tablety, serwery NAS. Wear leveling sprawia, że secure erase nie obejmuje wszystkich komórek – konieczne rozdrabnianie mechaniczne do klasy H-4.
Pendrive’y i karty pamięci – rozmiar utrudnia kontrolę nad ich obiegiem w firmie, a trwałość zapisu jest wysoka nawet przy próbach skasowania danych.
Płyty CD, DVD i Blu-ray – archiwa, kopie zapasowe. Warstwa zapisu pozostaje czytelna długo po mechanicznym uszkodzeniu powierzchni. Wymagane rozdrobnienie do klasy T-4.
Taśmy magnetyczne LTO – backup korporacyjny i archiwa serwerowni. Pojemność jednej taśmy to dziś nawet kilkanaście TB danych; utylizacja bez zniszczenia to ryzyko nieakceptowalne.
Całe urządzenia – laptopy i tablety, jeśli nie ma potrzeby osobnego demontażu. Wewnętrzne nośniki są niszczone razem z obudową.

Ile kosztuje niszczenie nośników danych – od czego zależy cena

Cena niszczenia nośników jest ustalana indywidualnie. Zmienne, które ją kształtują:

Rodzaj nośnika. Małe nośniki (pendrive’y, karty pamięci) wymagają innego sprzętu niż dyski serwerowe SCSI – to przekłada się na stawkę za sztukę. Dyski SSD są często droższe w zniszczeniu niż HDD, bo wymagają rozdrabniania do mniejszych frakcji. Pełne zestawienie czynników wpływających na wycenę znajdziesz w artykule co wpływa na cenę niszczenia nośników danych.

Liczba sztuk. Przy większych partiach cena jednostkowa spada – jednorazowe wycofanie floty komputerów będzie tańsze na sztukę niż niszczenie kilku dysków.

Lokalizacja odbioru. Przy bardzo małych zleceniach dojazd może być doliczany osobno. Przy partiach większych jest zwykle wliczony.

Czy niszczenie odbywa się na miejscu. Część firm niszczących oferuje mobilne niszczenie magnetyczne – sprzęt przyjeżdża do siedziby klienta. To wygodne przy dużych wolumenach i tam, gdzie klient chce być obecny przy zniszczeniu, ale zwykle droższe od odbioru i zniszczenia w zakładzie.

Zanim poprosisz o wycenę, warto przygotować: listę typów nośników, szacunkową liczbę sztuk i informację, czy potrzebujesz certyfikatu z wyspecyfikowanym poziomem DIN 66399 (np. na potrzeby audytu RODO lub wymagań korporacyjnych). Bezpłatną wycenę możesz zamówić na stronie epdokumenty.pl.

Certyfikat zniszczenia nośników – co powinien zawierać

Certyfikat zniszczenia jest dowodem wywiązania się z obowiązku usunięcia danych – wymaganym przy audycie RODO, kontroli UODO lub wewnętrznym przeglądzie zgodności. Bez tego dokumentu firma nie może udowodnić, że dane zostały trwale zniszczone, co w praktyce oznacza brak rozliczalności wymaganej przez art. 5 ust. 2 RODO.

Prawidłowo wystawiony certyfikat zawiera:

datę zniszczenia
rodzaj i liczbę zniszczonych nośników
zastosowaną normę (DIN 66399) wraz z poziomem bezpieczeństwa
podpis osoby odpowiedzialnej po stronie wykonawcy

Certyfikat nie zastępuje umowy powierzenia przetwarzania danych (wymaganej przez art. 28 RODO przy korzystaniu z zewnętrznego wykonawcy), ale ją uzupełnia. Razem tworzą kompletną dokumentację czynności usunięcia danych.

Często zadawane pytania

Czy muszę usunąć dane z dysków przed oddaniem ich do zniszczenia?
Nie. Fizyczne zniszczenie mechaniczne jest metodą nieodwracalną – nie ma potrzeby wcześniejszego formatowania ani kasowania plików. Certyfikat zniszczenia potwierdza, że dane zostały trwale i całkowicie zniszczone niezależnie od stanu nośnika przed zniszczeniem.

Czy certyfikat zniszczenia zastępuje wpis do rejestru czynności przetwarzania?
Nie zastępuje, ale uzupełnia. Rejestr czynności przetwarzania (art. 30 RODO) powinien odnotowywać czynność usunięcia danych jako odrębną operację – z datą i zakresem. Certyfikat zniszczenia jest dokumentem potwierdzającym faktyczne wykonanie tej czynności.

Czym różni się demagnetyzacja od mechanicznego rozdrabniania?
Demagnetyzacja (degaussing) trwale zakłóca zapis magnetyczny na dyskach HDD i taśmach LTO – dysk nie nadaje się już do użytkowania, ale pozostaje fizycznie w jednym kawałku. Mechaniczne rozdrabnianie fizycznie niszczy nośnik na drobne fragmenty zgodnie z normą DIN 66399. Dla dysków SSD, pendrive’ów i płyt optycznych demagnetyzacja jest bezskuteczna – jedyną właściwą metodą jest mechaniczne rozdrabnianie nośników danych.

Czy obowiązek zniszczenia nośników wynika bezpośrednio z RODO?
Tak. Art. 5 ust. 1 lit. e RODO nakłada obowiązek usunięcia danych osobowych, gdy przestały być niezbędne do celów przetwarzania. „Usunięcie” z nośnika cyfrowego musi być nieodwracalne – samo skasowanie pliku lub sformatowanie nie spełnia tego wymagania. Więcej o tym, jak RODO reguluje niszczenie dokumentów, przeczytasz w artykule niszczenie dokumentów zgodnie z RODO.

Czy niszczenie nośników cyfrowych można zlecić razem z niszczeniem dokumentów papierowych?
Tak – jednorazowe niszczenie dokumentów można połączyć z utylizacją nośników w ramach jednego zlecenia. Warto o tym pamiętać przy okazji porządkowania archiwum lub likwidacji biura, gdy do zniszczenia jest zarówno dokumentacja papierowa, jak i stary sprzęt z danymi.