Czy są dotacje na certyfikację ISO/IEC 21964?

Tak. PARP — Krajowy Fundusz Szkoleniowy (KFS) dofinansowuje szkolenia personelu związane z wdrożeniem standardu (do 80% kosztu szkoleń). FENG 2027 i regionalne programy operacyjne (RPO) refundują koszt certyfikacji jakości dla mikro i małych przedsiębiorców. Multicert pomaga w identyfikacji właściwego programu w ramach wstępnej konsultacji.

ISO/IEC 21964 — niszczenie nośników danych w organizacji (przewodnik 2026)

Q: Kto powinien wdrożyć ISO/IEC 21964?

Norma jest adresowana do dwóch typów podmiotów: (1) firm specjalizujących się w niszczeniu nośników danych — usługi dla klientów zewnętrznych, oferujące mobilne i stacjonarne niszczenie; (2) organizacji administrujących własnymi danymi, które niszczą nośniki w ramach cyklu życia (banki, ubezpieczenia, sektor publiczny, podmioty medyczne, instytucje edukacyjne). Dla obu kategorii ISO/IEC 21964 jest narzędziem dokumentowania zgodności z RODO i sektorowych regulacji o ochronie danych.

Q: Co napędza koszt audytu zgodności ISO/IEC 21964?

Skala działalności (jeden zakład vs sieć regionalna), zakres usług (mobilne niszczenie u klienta, stacjonarne w zakładzie, niszczenie elektroniczne SSD/HDD, niszczenie nośników optycznych), typ oferowanych klas ochrony (P-1 do P-3 vs P-4 do P-7 dla wysokoryzykowych), liczba pojazdów do mobilnego niszczenia, posiadana dokumentacja wstępna (system zarządzania jakością, procedury zarządzania incydentami, łańcuch dowodowy).

Q: Jak otrzymać konkretną wycenę?

Skontaktuj się przez formularz na multicert.pl/kontakt lub bezpośrednio z Doradczynią Klienta. Bezpłatna analiza potrzeb i pisemna oferta indywidualna w 2 godziny w godzinach pracy. Wycena obejmuje: zakres audytu (klasy ochrony, grupy nośników), harmonogram, koszty audytów nadzorczych w cyklu rocznym, ewentualne połączenie z ISO 27001 (audyt zintegrowany).

Q: Czy ISO/IEC 21964 jest wymagana przez RODO?

RODO formalnie nie wymaga konkretnej normy ISO. Wymaga jednak (art. 32) wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa odpowiadający ryzyku. ISO/IEC 21964 jest najpełniejszym europejskim standardem dokumentującym te środki w zakresie niszczenia nośników. W przypadku kontroli UODO posiadanie certyfikatu ISO/IEC 21964 jest istotnym dowodem należytej staranności.

Q: Czy każda jednostka certyfikująca podaje cennik?

Nie. Praktyka rynkowa wszystkich akredytowanych jednostek certyfikujących (TÜV, Bureau Veritas, Dekra, DNV, LL-C, ISA, Multicert) — wycena indywidualna potwierdzana pisemnie po analizie zakresu organizacji.

W skrócie · 5wniosków

1ISO/IEC 21964 (oparta o DIN 66399) jest międzynarodową normą określającą wymagania dla bezpiecznego niszczenia nośników danych — z podziałem na 7 klas ochrony i 6 grup nośników.
2Trzy klasy ochrony (P-1 do P-7) określają poziom poufności niszczonych danych — od ogólnodostępnych (P-1) do dokumentów najwyższego stopnia tajności (P-7).
3Sześć grup nośników (P papier, F filmy/mikrofilmy, O optyczne, T magnetyczne na taśmach, H twarde dyski, E elektroniczne SSD) — każda grupa ma własne wymagania techniczne.
4Powiązania z RODO art. 5 ust. 1 lit. f (integralność i poufność) oraz art. 32 (środki bezpieczeństwa). Audyt zgodności ISO/IEC 21964 to udokumentowany dowód zgodności.
5Wycena audytu Multicert — indywidualna, sporządzana pisemnie po analizie zakresu działalności (firma niszcząca dane vs administrator nośników). Bezpłatna konsultacja w 2 godziny.

ISO/IEC 21964 (oparta o niemiecką normę DIN 66399) jest międzynarodową normą określającą wymagania dla bezpiecznego niszczenia nośników danych — papierowych, magnetycznych, optycznych i elektronicznych. Norma definiuje 7 klas ochrony (P-1 do P-7) zależnych od poziomu poufności niszczonych danych oraz 6 grup nośników (P, F, O, T, H, E) z odrębnymi wymaganiami technicznymi. Standard jest adresowany do firm niszczących nośniki na zlecenie klientów (mobilne, stacjonarne) oraz do organizacji niszczących własne nośniki w ramach cyklu życia danych.

Powiązania regulacyjne:

Niszczenie danych jako część obowiązków RODO (art. 5 ust. 1 lit. f, art. 32, art. 17)
Ustawa o krajowym systemie cyberbezpieczeństwa
Ustawa o ochronie informacji niejawnych (klauzula tajności do P-7)
Sektorowe regulacje (banki — Rekomendacja D KNF, ubezpieczenia — Solvency II, medyczne — Ustawa o prawach pacjenta)

Niniejszy artykuł nie zawiera oferty handlowej. Pełna wycena audytu zgodności jest sporządzana indywidualnie po analizie zakresu działalności, zgodnie z praktyką branżową wszystkich akredytowanych jednostek certyfikujących.

Siedem klas ochrony (P-1 do P-7)

Klasy ochrony odpowiadają poziomowi poufności niszczonych danych. Im wyższa klasa, tym mniejsze cząstki po zniszczeniu i większa odporność na próbę odzyskania danych:

Klasa	Zastosowanie	Cząstka papieru (typ P)
P-1	Dane ogólnodostępne (broszury, prospekty, dane reklamowe)	Powierzchnia ≤ 2 000 mm²
P-2	Dane wewnętrzne (dokumenty bieżące, niewrażliwe)	Powierzchnia ≤ 800 mm²
P-3	Dane osobowe podstawowe (lista kontaktów, faktury)	Powierzchnia ≤ 320 mm²
P-4	Dane osobowe wrażliwe (RODO art. 9), dane finansowe	Powierzchnia ≤ 160 mm², szerokość ≤ 6 mm
P-5	Dane bardzo wrażliwe (medyczne, sektor finansowy regulowany)	Powierzchnia ≤ 30 mm², szerokość ≤ 2 mm
P-6	Dokumenty tajne (informacje niejawne klauzula „Poufne”)	Powierzchnia ≤ 10 mm², szerokość ≤ 1 mm
P-7	Dokumenty ściśle tajne (klauzula „Tajne”, „Ściśle tajne”)	Powierzchnia ≤ 5 mm², szerokość ≤ 1 mm

W praktyce dla typowych zastosowań organizacyjnych (firmy, urzędy) najczęściej wymaganą klasą jest P-4 (dla danych osobowych) lub P-5 (dla sektorów regulowanych). Klasy P-6 i P-7 są zarezerwowane dla informacji niejawnych w rozumieniu Ustawy o ochronie informacji niejawnych z 5 sierpnia 2010 r.

Sześć grup nośników

ISO/IEC 21964 definiuje sześć grup, każda z własnymi wymaganiami fizycznego niszczenia:

P (Paper) — dokumenty papierowe, kopiarki, druki. Najczęściej audytowana grupa.

F (Film/Mikrofilm) — mikrofilmy, mikroformy, filmy fotograficzne. Coraz rzadziej spotykana — głównie archiwa medyczne i prawne.

O (Optical media) — płyty CD, DVD, Blu-ray. Wymagają mechanicznego niszczenia (rozdrabniarki, wybijaki) — nie wystarczy zwykłe rysowanie powierzchni.

T (Magnetic tape) — taśmy magnetyczne (LTO, DAT, archiwalne backupy). Wymagają demagnetyzacji (degausser) lub niszczenia mechanicznego.

H (Hard disk drives) — twarde dyski mechaniczne (HDD). Wymagają demagnetyzacji + rozdrabniania talerza, lub bezpośredniego rozdrabniania mechanicznego do określonych klas.

E (Electronic media) — pamięci elektroniczne (SSD, eMMC, USB, karty SD, smartfony, tablety). Najbardziej wymagająca grupa — demagnetyzacja nie działa na pamięci flash, wymagane mechaniczne rozdrabnianie do bardzo małych cząstek (E-7 = ≤ 0,2 mm² dla kart pamięci, smartfonów).

Audyt zgodności — co weryfikujemy

Audyt zgodności z ISO/IEC 21964 prowadzony przez akredytowaną jednostkę certyfikującą obejmuje:

1. System zarządzania bezpieczeństwem informacji

Polityka bezpieczeństwa niszczenia danych
Procedury operacyjne dla każdej grupy nośników i klasy ochrony
Zarządzanie ryzykiem (identyfikacja zagrożeń, ocena, postępowanie)
System zarządzania incydentami (utrata kontroli nad nośnikiem, awaria sprzętu)
Łańcuch dowodowy — udokumentowana historia każdego nośnika od odbioru do zniszczenia

2. Infrastruktura techniczna

Specyfikacja techniczna rozdrabniarek (zgodność z deklarowanymi klasami P-x)
Kalibracje i przeglądy serwisowe (z udokumentowanym harmonogramem)
Demagnetyzatory dla nośników magnetycznych (T, H) — z protokołami siły pola
Systemy zarządzania pojazdami (dla mobilnego niszczenia) — telematyka, GPS, kamery
Pomieszczenia stacjonarnego niszczenia — kontrola dostępu, monitoring CCTV

3. Kompetencje personelu

Świadectwa szkoleń operatorów rozdrabniarek
Świadectwa kompetencji audytorów wewnętrznych klasyfikacji nośników
Dla informacji niejawnych — poświadczenia bezpieczeństwa zgodne z Ustawą o ochronie informacji niejawnych

4. Procedury obsługi klienta

Umowa o niszczenie z klauzulami RODO (art. 28 — przetwarzanie powierzone)
Wystawienie certyfikatu zniszczenia z numerem partii, datą, klasą ochrony, grupą nośnika
System rejestracji łańcucha dowodowego — audyt śladu od odbioru do zniszczenia
Procedura postępowania ze zdarzeniami niepożądanymi (zgubienie, kradzież, nieprawidłowe zniszczenie)

Powiązanie z RODO i innymi regulacjami

ISO/IEC 21964 nie jest formalnie wymagana przez RODO, ale stanowi dokumentowany dowód należytej staranności w zakresie:

RODO art. 5 ust. 1 lit. f — zasada integralności i poufności: dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo. Niszczenie nośników wg ISO/IEC 21964 dokumentuje formalny system tej zasady.

RODO art. 17 — prawo do bycia zapomnianym: organizacja musi wykazać, że dane zostały skutecznie usunięte. Certyfikat zniszczenia wg ISO/IEC 21964 jest standardem rynkowym.

RODO art. 32 — środki bezpieczeństwa: stopień ryzyka określa wymagany poziom środków. ISO/IEC 21964 zapewnia dopasowanie do różnych poziomów ryzyka.

RODO art. 28 — umowa o przetwarzanie powierzone: gdy organizacja zleca niszczenie firmie zewnętrznej, umowa musi szczegółowo określać środki bezpieczeństwa. Certyfikat ISO/IEC 21964 dostawcy jest standardem branżowym.

Ustawa o ochronie informacji niejawnych z 5 sierpnia 2010 r. — dla informacji niejawnych (klauzule „Zastrzeżone”, „Poufne”, „Tajne”, „Ściśle tajne”) wymagane są klasy P-5 do P-7. Certyfikat ISO/IEC 21964 dla tych klas dokumentuje zgodność.

Co napędza cenę audytu

Wycena każdej jednostki certyfikującej (Multicert, TÜV, Bureau Veritas, Dekra) opiera się na pięciu czynnikach:

1. Skala działalności

Pojedynczy zakład stacjonarny (1 lokalizacja, 1-2 rozdrabniarki) — zakres podstawowy
Sieć regionalna (2-5 lokalizacji, flota mobilna) — cykl rozszerzony, audyt multi-site
Sieć ogólnokrajowa (10+ lokalizacji, kompleksowa flota) — pełen zakres z próbkowaniem

2. Zakres usług

Tylko papier (grupa P): zakres podstawowy
Papier + nośniki magnetyczne (P + T + H): zakres rozszerzony
Pełen zakres 6 grup (P + F + O + T + H + E): pełen zakres
Z mobilnym niszczeniem na miejscu klienta: rozszerzona walidacja systemu telematyki + GPS

3. Klasy ochrony deklarowane

P-1 do P-3 (dane ogólne i podstawowe): zakres bazowy
P-4 do P-5 (dane osobowe, sektory regulowane): zakres rozszerzony
P-6 do P-7 (informacje niejawne): pełen zakres z dodatkowym audytem zgodności z Ustawą o ochronie informacji niejawnych

4. Posiadana dokumentacja wstępna

Firmy posiadające już wdrożone:

ISO 27001 (system zarządzania bezpieczeństwem informacji)
ISO 9001 (zarządzanie jakością)
System rejestracji łańcucha dowodowego
System zarządzania incydentami

…mają krótszy cykl certyfikacyjny i niższą wycenę (audyt zintegrowany).

5. Branża klientów docelowych

Standardowi klienci komercyjni: zakres bazowy
Sektor finansowy regulowany (KNF, banki): rozszerzona walidacja zgodności z Rekomendacją D
Sektor medyczny: walidacja zgodności z Ustawą o prawach pacjenta i RODO art. 9
Sektor publiczny i obronny: walidacja Ustawy o ochronie informacji niejawnych

Procedura uzyskania wyceny

Multicert nie publikuje sztywnego cennika audytu ISO/IEC 21964 — formalna wycena wymaga analizy zakresu działalności. Praktyczny tryb postępowania:

Zapytanie wstępne przez formularz kontaktowy
Bezpłatna konsultacja — przegląd profilu firmy, omówienie zakresu usług, identyfikacja klas ochrony i grup nośników
Pisemna oferta indywidualna w 2 godziny w godzinach pracy — szczegółowy harmonogram audytu, pełna kalkulacja w 3-letnim cyklu
Decyzja klienta bez zobowiązań

Akredytacja jednostki certyfikującej

Multicert posiada akredytację PCA AC 210 (ISO/IEC 17065) oraz partnerstwo z ČIA 150/2025 dla wybranych systemów ISO. Status weryfikowalny w publicznym rejestrze pca.gov.pl.

Dotacje publiczne

Część kosztów certyfikacji może podlegać refundacji:

PARP — Krajowy Fundusz Szkoleniowy (KFS): do 80% kosztu szkoleń personelu związanych z wdrożeniem standardu
FENG 2027 / Fundusze Europejskie: refundacja kosztu certyfikacji bezpieczeństwa informacji dla mikro i małych przedsiębiorców
Programy NCBR: przeznaczone na technologie bezpieczeństwa cybernetycznego

Multicert pomaga w identyfikacji właściwego programu w ramach wstępnej konsultacji — bez dodatkowej opłaty.

Podsumowanie

ISO/IEC 21964 jest najpełniejszym międzynarodowym standardem dla bezpiecznego niszczenia nośników danych — z jednolitym schematem 7 klas ochrony i 6 grup nośników. Jest adresowana do firm specjalizujących się w niszczeniu (na zlecenie klientów) oraz do organizacji niszczących własne nośniki w ramach cyklu życia danych. Stanowi udokumentowany dowód zgodności z RODO art. 5, 17, 28, 32 oraz Ustawą o ochronie informacji niejawnych w zakresie klas P-5 do P-7.

Kontakt

Renata Wojnowska · Doradca ds. certyfikacji · +48 730 668 341 · [email protected]

Powiązane artykuły:

Certyfikat ISO 27001 — jak chronić dane
Nowa-stara norma ISO 27001:2022
ISO 27001 dla małej firmy IT i startupu SaaS
Pełen przewodnik po ISO/IEC 21964 — iso-certyfikacja.pl (rozszerzona dokumentacja techniczna i przykłady wdrożeń)

Najczęstsze pytania

Kto powinien wdrożyć ISO/IEC 21964? +

Firmy niszczące nośniki na zlecenie klientów oraz organizacje niszczące własne nośniki w ramach cyklu życia danych — banki, ubezpieczenia, sektor publiczny, podmioty medyczne.

Czym różni się ISO/IEC 21964 od DIN 66399? +

ISO/IEC 21964:2018 jest międzynarodową adaptacją niemieckiej DIN 66399:2012. Struktura niemal identyczna — 7 klas ochrony, 6 grup nośników, te same wymiary cząstek. Globalne uznanie ISO ułatwia komunikację międzynarodową.

Co napędza koszt audytu zgodności ISO/IEC 21964? +

Skala działalności, zakres usług (mobilne/stacjonarne, grupy nośników), klasy ochrony, posiadana dokumentacja wstępna, profil klientów docelowych.

Jak otrzymać konkretną wycenę? +

Formularz kontaktowy multicert.pl/kontakt — pisemna oferta w 2 godziny.

Czy ISO/IEC 21964 jest wymagana przez RODO? +

Formalnie nie, ale stanowi udokumentowany dowód należytej staranności (RODO art. 5, 17, 28, 32) — istotny przy kontroli UODO.

Czy są dotacje na certyfikację? +

Tak — KFS (do 80% kosztu szkoleń), FENG 2027, programy NCBR dla bezpieczeństwa cybernetycznego.

Czy każda jednostka certyfikująca podaje cennik? +

Nie. Praktyka rynkowa wszystkich akredytowanych jednostek (TÜV, BV, Dekra, DNV, LL-C, ISA, Multicert) — wycena indywidualna potwierdzana pisemnie.

Autor artykułu

Zespół Multicert

Redakcja Multicert · Akredytacja PCA AC 210

Artykuły przygotowuje zespół audytorów i specjalistów Multicert z wieloletnim doświadczeniem w certyfikacji systemów ISO, wyrobów CE oraz regulacjach UE.

← Wszystkie artykuły 16 kwietnia 2026