RODO a niszczenie dokumentów w firmie – obowiązki 2026
Wyrzucenie dokumentów z danymi osobowymi do zwykłego kosza lub kontenera to naruszenie RODO – niezależnie od tego, czy nikt tego nie zauważy. Art. 5 ust. 1 lit. e rozporządzenia nakłada na administratora danych obowiązek usunięcia danych osobowych, gdy przestały być niezbędne do celów, dla których zostały zebrane. W przypadku dokumentów papierowych „usunięcie” oznacza trwałe, nieodwracalne zniszczenie – takie, po którym dane nie mogą być odtworzone. I takie, które można udowodnić.
Co RODO mówi o niszczeniu dokumentów – konkretne przepisy
Obowiązek prawidłowego niszczenia dokumentów zgodnie z RODO wynika z kilku przepisów rozporządzenia jednocześnie.
Art. 5 ust. 1 lit. e RODO – zasada ograniczenia przechowywania: dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby nie dłużej, niż jest to niezbędne do celów przetwarzania. Gdy cel ustaje – dane należy usunąć lub zanonimizować.
Art. 5 ust. 2 RODO – zasada rozliczalności: administrator danych musi być w stanie wykazać, że przestrzega zasad wymienionych w art. 5 ust. 1. Samo zniszczenie nie wystarczy – musisz mieć dowód, że do niego doszło.
Art. 17 RODO – prawo do usunięcia danych: gdy osoba fizyczna zażąda usunięcia swoich danych, administrator jest zobowiązany do ich zniszczenia bez zbędnej zwłoki. Dotyczy to również dokumentów papierowych zawierających te dane.
Art. 24 i 25 RODO – obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych: wybór metody niszczenia dokumentów jest częścią tych środków. Wrzucenie dokumentów do biurowej niszczarki klasy P-2 przy przetwarzaniu danych wrażliwych – np. danych medycznych, numerów PESEL, wyroków sądowych – jest nieadekwatne do ryzyka.
Które dokumenty musisz zniszczyć i kiedy
Obowiązek niszczenia dotyczy każdego dokumentu z danymi osobowymi, któremu minął ustawowy okres przechowywania. Terminy wynikają z różnych przepisów – nie tylko z RODO. Więcej o okresach przechowywania dokumentów firmowych znajdziesz w osobnym przewodniku.
| Kategoria dokumentu | Minimalny okres przechowywania | Podstawa prawna |
|---|---|---|
| Faktury i dokumenty finansowe | 5 lat od końca roku, w którym powstało zobowiązanie | Ordynacja podatkowa, ustawa o rachunkowości |
| Akta pracownicze (umowy po 01.01.2019) | 10 lat od ustania stosunku pracy | Kodeks pracy, ustawa o emeryturach |
| Akta pracownicze (umowy przed 01.01.2019) | 50 lat od ustania stosunku pracy | Poprzednie przepisy KP |
| Dokumenty ZUS | 5 lat od daty wyrejestrowania | Ustawa o systemie ubezpieczeń społecznych |
| Dokumenty dotyczące roszczeń cywilnych | Do przedawnienia roszczenia + bufor | Kodeks cywilny (art. 118, 125 KC) |
Ważna uwaga: zniszczenie dokumentu przed upływem wymaganego okresu przechowywania to osobne naruszenie – przepisów podatkowych, prawa pracy lub ustawy o rachunkowości, nie tylko RODO. Niszczysz dokumenty po upływie terminu, nie przed.
Co grozi za nieprawidłowe niszczenie dokumentów
RODO przewiduje dwa progi kar administracyjnych nakładanych przez UODO:
- do 10 mln EUR lub 2% rocznego globalnego obrotu – za naruszenia przepisów technicznych i organizacyjnych (np. brak odpowiednich środków ochrony danych)
- do 20 mln EUR lub 4% rocznego globalnego obrotu – za naruszenia zasad przetwarzania danych (np. przechowywanie danych dłużej niż to konieczne)
Dla MŚP oznacza to realne ryzyko kar rzędu kilku–kilkudziesięciu tysięcy złotych. UODO nałożył już kary na małe firmy i jednoosobowe działalności gospodarcze – brak skali nie chroni przed odpowiedzialnością.
Poza karą administracyjną art. 82 RODO przewiduje odpowiedzialność odszkodowawczą wobec osób, których dane wyciekły. Jeśli dokumenty Twojej firmy trafią do śmietnika i ktoś poniesie przez to szkodę – poszkodowany ma prawo dochodzić odszkodowania bezpośrednio od administratora. Więcej o realnych skutkach finansowych wycieku danych przeczytasz w artykule ile kosztuje wyciek danych.
Dodatkowy skutek wycieku danych: obowiązek zgłoszenia naruszenia do UODO w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO). Niezgłoszenie naruszenia w terminie to kolejne naruszenie – z osobną podstawą do nałożenia kary.
Jak prawidłowo zlecić niszczenie dokumentów zgodnie z RODO
Przekazanie dokumentów z danymi osobowymi zewnętrznej firmie niszczącej wymaga spełnienia dwóch formalnych warunków.
Umowa powierzenia przetwarzania danych (art. 28 RODO). Administrator ma obowiązek zawrzeć pisemną umowę z podmiotem, któremu powierza przetwarzanie danych – a niszczenie dokumentów jest formą przetwarzania. Umowa powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel, rodzaj danych, kategorie osób oraz obowiązki i prawa administratora. Bez tej umowy administrator odpowiada za naruszenia po stronie wykonawcy jak za własne.
Certyfikat zniszczenia jako dowód rozliczalności. To dokument potwierdzający faktyczne zniszczenie danych, wymagany przez art. 5 ust. 2 RODO. Powinien zawierać: datę zniszczenia, zakres zniszczonego materiału, zastosowaną normę (DIN 66399) i podpis osoby odpowiedzialnej.
Dlaczego niszczarka biurowa nie zawsze wystarczy
Norma DIN 66399 definiuje klasy niszczenia dokumentów papierowych od P-1 (najniższa – paski) do P-7 (najwyższa – mikrocząstki). Większość biurowych niszczarek to klasa P-2 lub P-3. Szczegółowe omówienie normy i jej zastosowania znajdziesz w artykule norma DIN 66399 – od wydruków po tajne dyski twarde.
Dla dokumentów zawierających zwykłe dane osobowe (imię, nazwisko, adres, numer telefonu) standardem przyjętym w branży jest P-4 – fragmenty o maksymalnej powierzchni 160 mm². Dla dokumentów z danymi wrażliwymi w rozumieniu art. 9 RODO (dane medyczne, dane dotyczące karalności, dane biometryczne) zalecany standard to P-5 lub wyżej.
Sprzęt przemysłowy spełnia te wymagania. Standardowe niszczarki biurowe – najczęściej nie, a ich klasa niszczenia jest rzadko sprawdzana przez firmy korzystające z nich na co dzień.
Co ważne: to administrator danych odpowiada za wybór metody niszczenia adekwatnej do kategorii przetwarzanych danych (art. 24 RODO). Nie firma niszcząca. Dlatego decyzja o metodzie zniszczenia, dobór wykonawcy i udokumentowanie całego procesu jest częścią obowiązków administratora – nie opcjonalnym dodatkiem. Jeśli nie masz pewności, jakie rozwiązanie wybrać, EP Dokumenty oferuje bezpłatną wycenę i doradztwo w zakresie doboru odpowiedniej metody.
Najczęstsze błędy przy niszczeniu dokumentów z danymi osobowymi
Kilka praktycznych sytuacji, które powtarzają się przy audytach compliance:
Niszczenie bez umowy powierzenia. Firma zleca niszczenie dokumentów zewnętrznemu podmiotowi, ale nie podpisuje umowy powierzenia. Skutek: cała odpowiedzialność za ewentualne naruszenie spoczywa na administratorze – bez możliwości regresowania do wykonawcy.
Brak certyfikatu zniszczenia. Dokumenty zostają zniszczone, ale bez wystawienia certyfikatu. Firma nie może udowodnić rozliczalności – co w praktyce jest równoważne z brakiem dowodu na zniszczenie.
Zniszczenie przed upływem okresu przechowywania. Porządkowanie archiwum i niszczenie „tego, co stare” bez weryfikacji terminów. Faktura sprzed 3 lat to za wcześnie – obowiązkowy okres to 5 lat.
Użycie niszczarki biurowej do dokumentów klasy wyżej niż P-3. Dokumenty kadrowe, medyczne lub zawierające numery PESEL niszczone niszczarką dającą paski – w razie kontroli trudno obronić adekwatność takiego środka.
Często zadawane pytania
Czy umowę powierzenia przetwarzania podpisuję przy każdym zleceniu niszczenia?
Nie. Umowę zawiera się raz – obejmuje ona wszystkie zlecenia realizowane przez dany podmiot przetwarzający. Przy zleceniach jednorazowych podpisuje się ją przed lub przy okazji pierwszej realizacji.
Czy naruszenie przez firmę niszczącą obciąża moją odpowiedzialność jako administratora?
Tak. Administrator ponosi odpowiedzialność za działania podmiotu przetwarzającego. Prawidłowo zawarta umowa powierzenia daje podstawę do regresowania się do wykonawcy, ale nie zwalnia administratora z pierwotnej odpowiedzialności wobec UODO i osób, których dane dotyczą.
Czy zniszczenie dokumentów trzeba odnotować w rejestrze czynności przetwarzania?
Tak. Rejestr czynności przetwarzania (art. 30 RODO) powinien obejmować czynność usunięcia danych jako odrębną operację – z datą, zakresem i metodą. Certyfikat zniszczenia jest dokumentem potwierdzającym jej wykonanie.
Jak RODO ma się do formalnej procedury brakowania akt?
To dwa równoległe reżimy. Ustawa o archiwach reguluje, kiedy i w jakiej kolejności wolno zniszczyć dokumenty z archiwum zakładowego (dotyczy głównie podmiotów publicznych). RODO reguluje, jak to zrobić i jak to udokumentować – niezależnie od tego, czy dana firma ma obowiązek archiwalny, czy nie. Więcej na ten temat przeczytasz w artykule brakowanie akt – procedura i przepisy.
Czy niszczenie nośników cyfrowych podlega tym samym zasadom RODO co dokumenty papierowe?
Tak – obowiązek trwałego, nieodwracalnego usunięcia danych dotyczy każdego nośnika, na którym dane są przechowywane. Różnią się metody zniszczenia adekwatne do danego nośnika. Więcej na temat niszczenia dysków twardych i nośników cyfrowych przeczytasz w osobnym artykule.