Certyfikat zniszczenia dokumentów to dokument, którego prędzej czy później zażąda od Ciebie inspektor ochrony danych, kontrahent albo zamawiający w przetargu. Sam fakt zniszczenia nie wystarcza — liczy się jego udokumentowanie. W tym artykule wyjaśniamy, co taki certyfikat musi zawierać, kto go realnie honoruje i czym różni się od pełnej certyfikacji procesu niszczenia wg DIN 66399 / ISO/IEC 21964.
Czym jest certyfikat zniszczenia
Certyfikat (protokół) zniszczenia to formalne potwierdzenie, że określona partia nośników — dokumentów papierowych, dysków, nośników elektronicznych — została trwale zniszczona w sposób uniemożliwiający odtworzenie danych. Wystawia go firma wykonująca usługę niszczenia, a jego odbiorcą jest organizacja, która powierzyła nośniki do zniszczenia.
Dla administratora danych certyfikat zamyka cykl życia danych: dokumentuje, że obowiązek usunięcia danych został wykonany i kiedy. Bez niego organizacja nie jest w stanie wykazać, że dane faktycznie przestały istnieć.
Co musi zawierać certyfikat zniszczenia
Wiarygodny certyfikat zniszczenia powinien zawierać co najmniej poniższe elementy:
| Element | Dlaczego jest istotny |
|---|---|
| Data i miejsce zniszczenia | Ustala moment usunięcia danych (istotny przy retencji i kontroli) |
| Identyfikacja zleceniodawcy | Wiąże zniszczenie z konkretnym administratorem danych |
| Rodzaj i ilość nośników (kg, m³ lub szt.) | Potwierdza zakres zniszczenia |
| Grupa nośnika (P, F, O, T, H, E) | Wskazuje typ nośnika wg DIN 66399 / ISO 21964 |
| Klasa ochrony (1–3) i stopień bezpieczeństwa (np. P-4) | Potwierdza, że poziom zniszczenia odpowiadał wrażliwości danych |
| Numer zlecenia | Umożliwia powiązanie z dokumentacją i łańcuchem dowodowym |
| Dane wykonawcy i podpis | Wskazuje odpowiedzialny podmiot |
Kto wymaga certyfikatu zniszczenia
Certyfikat zniszczenia nie jest formalnością — jest dowodem, którego żądają konkretne strony:
- Inspektor ochrony danych i zespół zgodności — by wykazać, że obowiązek usunięcia danych (art. 17 RODO) został wykonany i udokumentowany.
- Kontrahent powierzający dane — na podstawie umowy powierzenia przetwarzania (art. 28 RODO) odpowiada za podwykonawcę i żąda dowodu należytej staranności.
- Audytorzy RODO i ISO/IEC 27001 — sprawdzają, czy proces niszczenia jest udokumentowany (zabezpieczenie dotyczące nośników).
- Zamawiający w przetargach — coraz częściej wymagają od wykonawcy usługi niszczenia zgodności z DIN 66399 / ISO 21964.
Certyfikat partii a certyfikacja procesu
To rozróżnienie decyduje o wiarygodności. Certyfikat zniszczenia partii mówi: „te konkretne nośniki zostały zniszczone”. Certyfikacja procesu mówi: „cały nasz system niszczenia — urządzenia, procedury, personel, łańcuch dowodowy — został niezależnie zweryfikowany względem normy”.
Dla firmy niszczącej na zlecenie certyfikacja procesu wg programu Multicert MS-SDS 001:2026 sprawia, że każdy certyfikat partii, który wystawia klientom, opiera się na zweryfikowanym procesie — a nie tylko na deklaracji. To różnica między „obiecujemy” a „udowodniliśmy”.
Powiązanie z RODO
Certyfikat zniszczenia dokumentuje spełnienie trzech obowiązków RODO:
- Art. 17 — prawo do usunięcia danych: zniszczenie nośnika realizuje obowiązek trwałego usunięcia.
- Art. 28 — powierzenie przetwarzania: administrator odpowiada za podmiot przetwarzający (firmę niszczącą) i musi wykazać należytą staranność jego doboru.
- Art. 32 — bezpieczeństwo przetwarzania: niszczenie wg uznanego standardu jest środkiem technicznym adekwatnym do ryzyka.
Dla danych objętych klauzulami tajności zastosowanie ma dodatkowo Ustawa o ochronie informacji niejawnych, wymagająca wyższych stopni bezpieczeństwa (P-5 do P-7).
Podsumowanie
Certyfikat zniszczenia jest tyle wart, ile proces, który za nim stoi. Dla zlecającego to dowód należytej staranności wobec RODO; dla firmy niszczącej — codzienny dokument, którego wiarygodność opiera się na procesie. Jeśli niszczysz nośniki na zlecenie, certyfikacja procesu wg ISO/IEC 21964 sprawia, że Twoje certyfikaty przechodzą przez wymóg przetargowy i pytanie inspektora ochrony danych.
Najczęstsze pytania
Jak długo przechowywać certyfikat zniszczenia? +
Czy certyfikat zniszczenia można wystawić elektronicznie? +
Czy do niszczenia dysków i SSD potrzeba osobnego certyfikatu? +
Źródła: RODO — rozporządzenie (UE) 2016/679; Ustawa o ochronie informacji niejawnych z 5 sierpnia 2010 r.; norma DIN 66399 / ISO/IEC 21964:2018. Zobacz też: ISO/IEC 21964 — przewodnik po niszczeniu nośników.