Chcemy przekazać firmie zewnętrznej do zniszczenia dokumentację zawierającą dane osobowe. Jak to zrobić?
Przede wszystkim należy zawrzeć umowę na świadczoną usługę oraz umowę powierzenia przetwarzania danych z Wykonawcą. Po stronie Wykonawcy, wszystkie osoby biorące udział w jej niszczeniu powinni posiadać upoważnienia do przetwarzania danych osobowych. Zniszczenie dokumentacji powinno zostać potwierdzone stosownym protokołem zniszczenia.
Ponieważ mowa o niszczeniu dokumentacji zawierającej dane osobowe, to dobrze byłoby zawrzeć pewne specyficzne informacje w protokole zniszczenia tej dokumentacji. Chodzi o to, aby przy ewentualnej kontroli wykazać, że dokumentacja została przekazana do zniszczenia w sposób bezpieczny, była bezpiecznie transportowana i na pewno została zniszczona (wg deklaracji Wykonawcy).
Aby się zabezpieczyć powinno dojść do podpisania protokołu odebrania dokumentacji przez Wykonawcę, a później Wykonawca powinien dostarczyć protokół jej zniszczenia.
Może to być kilka punktów, np:
- Dokumentacja zostanie / została odebrana z siedziby administratora przez Wykonawcę.
- Odebrana dokumentacja nie może być / nie była przechowywana poza siedzibą Wykonawcy, w której nastąpiło zniszczenie.
- W niszczeniu dokumentacji brało udział x pracowników Wykonawcy (może być też obecny pracownik administratora).
- Proces niszczenia dokumentacji odbywał się w dniach od / do.
- Wykonawca potwierdza zniszczenie powierzonej dokumentacji i danych.
Takie podejście jest bezpieczne i zapewnia element rozliczalności tego procesu.
Należy pamiętać że w całym procesie za bezpieczeństwo danych osobowych odpowiedzialny jest administrator danych mimo, że zniszczenie jest realizowane przez zewnętrzną firmę.