Multicert

Bezpłatna wycena

ISO · w 2h, bez zobowiązań

Wyceń →
ISO

Certyfikat zniszczenia dokumentów — co musi zawierać i kto go honoruje

Co powinien zawierać certyfikat zniszczenia dokumentów i nośników danych, kto go wymaga (RODO art. 28, przetargi) oraz czym różni się od certyfikacji procesu wg DIN 66399 / ISO 21964.

Renata Wojnowska 8 min czytania

Certyfikat zniszczenia dokumentów to dokument, którego prędzej czy później zażąda od Ciebie inspektor ochrony danych, kontrahent albo zamawiający w przetargu. Sam fakt zniszczenia nie wystarcza — liczy się jego udokumentowanie. W tym artykule wyjaśniamy, co taki certyfikat musi zawierać, kto go realnie honoruje i czym różni się od pełnej certyfikacji procesu niszczenia wg DIN 66399 / ISO/IEC 21964.

Czym jest certyfikat zniszczenia

Certyfikat (protokół) zniszczenia to formalne potwierdzenie, że określona partia nośników — dokumentów papierowych, dysków, nośników elektronicznych — została trwale zniszczona w sposób uniemożliwiający odtworzenie danych. Wystawia go firma wykonująca usługę niszczenia, a jego odbiorcą jest organizacja, która powierzyła nośniki do zniszczenia.

Dla administratora danych certyfikat zamyka cykl życia danych: dokumentuje, że obowiązek usunięcia danych został wykonany i kiedy. Bez niego organizacja nie jest w stanie wykazać, że dane faktycznie przestały istnieć.

Co musi zawierać certyfikat zniszczenia

Wiarygodny certyfikat zniszczenia powinien zawierać co najmniej poniższe elementy:

ElementDlaczego jest istotny
Data i miejsce zniszczeniaUstala moment usunięcia danych (istotny przy retencji i kontroli)
Identyfikacja zleceniodawcyWiąże zniszczenie z konkretnym administratorem danych
Rodzaj i ilość nośników (kg, m³ lub szt.)Potwierdza zakres zniszczenia
Grupa nośnika (P, F, O, T, H, E)Wskazuje typ nośnika wg DIN 66399 / ISO 21964
Klasa ochrony (1–3) i stopień bezpieczeństwa (np. P-4)Potwierdza, że poziom zniszczenia odpowiadał wrażliwości danych
Numer zleceniaUmożliwia powiązanie z dokumentacją i łańcuchem dowodowym
Dane wykonawcy i podpisWskazuje odpowiedzialny podmiot

Kto wymaga certyfikatu zniszczenia

Certyfikat zniszczenia nie jest formalnością — jest dowodem, którego żądają konkretne strony:

  • Inspektor ochrony danych i zespół zgodności — by wykazać, że obowiązek usunięcia danych (art. 17 RODO) został wykonany i udokumentowany.
  • Kontrahent powierzający dane — na podstawie umowy powierzenia przetwarzania (art. 28 RODO) odpowiada za podwykonawcę i żąda dowodu należytej staranności.
  • Audytorzy RODO i ISO/IEC 27001 — sprawdzają, czy proces niszczenia jest udokumentowany (zabezpieczenie dotyczące nośników).
  • Zamawiający w przetargach — coraz częściej wymagają od wykonawcy usługi niszczenia zgodności z DIN 66399 / ISO 21964.

Certyfikat partii a certyfikacja procesu

To rozróżnienie decyduje o wiarygodności. Certyfikat zniszczenia partii mówi: „te konkretne nośniki zostały zniszczone”. Certyfikacja procesu mówi: „cały nasz system niszczenia — urządzenia, procedury, personel, łańcuch dowodowy — został niezależnie zweryfikowany względem normy”.

Dla firmy niszczącej na zlecenie certyfikacja procesu wg programu Multicert MS-SDS 001:2026 sprawia, że każdy certyfikat partii, który wystawia klientom, opiera się na zweryfikowanym procesie — a nie tylko na deklaracji. To różnica między „obiecujemy” a „udowodniliśmy”.

Powiązanie z RODO

Certyfikat zniszczenia dokumentuje spełnienie trzech obowiązków RODO:

  • Art. 17 — prawo do usunięcia danych: zniszczenie nośnika realizuje obowiązek trwałego usunięcia.
  • Art. 28 — powierzenie przetwarzania: administrator odpowiada za podmiot przetwarzający (firmę niszczącą) i musi wykazać należytą staranność jego doboru.
  • Art. 32 — bezpieczeństwo przetwarzania: niszczenie wg uznanego standardu jest środkiem technicznym adekwatnym do ryzyka.

Dla danych objętych klauzulami tajności zastosowanie ma dodatkowo Ustawa o ochronie informacji niejawnych, wymagająca wyższych stopni bezpieczeństwa (P-5 do P-7).

Podsumowanie

Certyfikat zniszczenia jest tyle wart, ile proces, który za nim stoi. Dla zlecającego to dowód należytej staranności wobec RODO; dla firmy niszczącej — codzienny dokument, którego wiarygodność opiera się na procesie. Jeśli niszczysz nośniki na zlecenie, certyfikacja procesu wg ISO/IEC 21964 sprawia, że Twoje certyfikaty przechodzą przez wymóg przetargowy i pytanie inspektora ochrony danych.

Najczęstsze pytania

Jak długo przechowywać certyfikat zniszczenia? +
Tak długo, jak długo możesz być zobowiązany wykazać usunięcie danych — zwykle przez okres przedawnienia roszczeń i kontroli właściwy dla danego rodzaju danych. Certyfikat jest dowodem należytej staranności, więc jego utrata pozbawia organizacji dowodu.
Czy certyfikat zniszczenia można wystawić elektronicznie? +
Tak. Forma elektroniczna jest dopuszczalna, o ile zapewnia integralność i możliwość weryfikacji wystawcy. Coraz częściej certyfikaty są wydawane cyfrowo z numerem zlecenia umożliwiającym powiązanie z łańcuchem dowodowym.
Czy do niszczenia dysków i SSD potrzeba osobnego certyfikatu? +
Zwykle ten sam certyfikat obejmuje różne grupy nośników, ale musi wskazywać właściwą grupę (H dla dysków, E dla nośników elektronicznych) i odpowiedni stopień bezpieczeństwa — wymagania techniczne dla SSD różnią się od papieru, bo rozmagnesowanie nie działa na pamięć flash.

Źródła: RODO — rozporządzenie (UE) 2016/679; Ustawa o ochronie informacji niejawnych z 5 sierpnia 2010 r.; norma DIN 66399 / ISO/IEC 21964:2018. Zobacz też: ISO/IEC 21964 — przewodnik po niszczeniu nośników.

Zadzwoń Bezpłatna wycena