Firma świadcząca usługi niszczenia dokumentów, przygotowując ofertę w postępowaniu o udzielenie zamówienia publicznego, coraz częściej napotyka w specyfikacji warunków zamówienia wymóg niszczenia nośników „zgodnie z normą ISO/IEC 21964 (DIN 66399)”. Pojawia się wtedy praktyczne pytanie: jak wykazać tę zgodność i jakim dokumentem ją potwierdzić, aby oferta nie została odrzucona, a wykonawca nie naraził się na zarzut wprowadzenia zamawiającego w błąd. Poniżej wyjaśniamy, czego dokładnie żąda zamawiający, jak poprawnie odczytać wymagany poziom bezpieczeństwa oraz jaki dokument należy załączyć do oferty.
Czego dokładnie wymaga specyfikacja warunków zamówienia
W postępowaniach na usługę niszczenia dokumentacji zamawiający najczęściej formułuje kilka powtarzalnych wymagań. Typowo są to:
- dysponowanie instalacją lub urządzeniami zapewniającymi niszczenie na wymaganym poziomie, określonym jako klasa ochrony oraz stopień bezpieczeństwa według ISO/IEC 21964 (dawniej DIN 66399);
- posiadanie polisy ubezpieczenia odpowiedzialności cywilnej, przy czym suma gwarancyjna wynosi nierzadko co najmniej 1 000 000 zł;
- potwierdzenie zgodności procesu niszczenia z normą ISO/IEC 21964 lub DIN 66399;
- prowadzenie protokołu zniszczenia oraz zachowanie łańcucha dowodowego, dokumentującego nośniki od momentu odbioru do momentu zniszczenia;
- zgodność z przepisami o ochronie danych osobowych, w szczególności zawarcie umowy powierzenia przetwarzania w rozumieniu art. 28 RODO.
Część z tych warunków to warunki udziału w postępowaniu, część zaś dotyczy przedmiotu zamówienia. Rozróżnienie ma znaczenie dla tego, jaki dokument i na jakim etapie należy przedłożyć.
Klasa ochrony a stopień bezpieczeństwa
Najczęstszym błędem przy odczytywaniu wymagań specyfikacji jest mylenie pojęć, którymi posługuje się norma. ISO/IEC 21964 opisuje niszczenie w trzech niezależnych osiach: grupie nośników (P, F, O, T, H, E), stopniu bezpieczeństwa (dla papieru P-1…P-7) oraz klasie ochrony (1–3). Zapis „klasa 2 / P-3” oznacza klasę ochrony 2 oraz stopień bezpieczeństwa P-3 w grupie papieru — a nie „drugą klasę stopnia P-3”. Różnicę między osiami i sposób doboru poziomu wyjaśniamy szczegółowo w osobnym wpisie: klasa ochrony czy stopień bezpieczeństwa.
Dla oferty istotne jest, że stopień bezpieczeństwa przekłada się na mierzalne parametry ścinka — stopień P-3 wymaga powierzchni ścinka nie większej niż 320 mm², a P-4 nie większej niż 160 mm². Dokument potwierdzający zgodność powinien wskazywać dokładnie ten poziom, którego żąda specyfikacja.
Jaki dokument załączyć — dokument przedmiotowy i równoważność
Certyfikat potwierdzający zgodność procesu niszczenia z normą ma charakter przedmiotowego środka dowodowego. Służy on wykazaniu, że oferowana usługa spełnia wymagania określone przez zamawiającego, a nie ocenie samego wykonawcy.
Jeżeli specyfikacja żąda „certyfikatu ISO 21964”, zamawiający jest zobowiązany dopuścić dokumenty równoważne. Zasada ta wynika wprost z Prawa zamówień publicznych, które zakazuje formułowania wymagań w sposób ograniczający konkurencję i nakazuje uwzględnianie rozwiązań równoważnych. Oznacza to, że wykonawca może wykazać zgodność dokumentem potwierdzającym spełnienie tych samych wymagań normy, nawet jeżeli jego nazwa nie brzmi dokładnie tak, jak sformułowano w specyfikacji. Warunkiem jest, aby dokument jednoznacznie odnosił się do ISO/IEC 21964 i wskazywał osiągnięte klasy ochrony oraz stopnie bezpieczeństwa.
Jak certyfikat MS-SDS spełnia ten wymóg
Certyfikat MS-SDS wydawany przez Multicert potwierdza zgodność procesu niszczenia nośników z normą ISO/IEC 21964 w zakresie klas ochrony od 1 do 3 oraz stopni bezpieczeństwa od P-1 do P-7. Jest to certyfikat własny Multicert, a nie dokument akredytowany. Certyfikat stanowi przedmiotowy środek dowodowy równoważny z dokumentem żądanym w specyfikacji i wskazuje osiągnięty poziom bezpieczeństwa w sposób umożliwiający jego zestawienie z wymaganiami zamawiającego.
| Wymóg specyfikacji warunków zamówienia | Co pokrywa certyfikat MS-SDS |
|---|---|
| Niszczenie zgodne z ISO/IEC 21964 / DIN 66399 | Potwierdzenie zgodności procesu niszczenia z ISO/IEC 21964 |
| Wymagana klasa ochrony (1–3) | Wskazanie klasy ochrony objętej certyfikacją |
| Wymagany stopień bezpieczeństwa (np. P-3, P-4) | Wskazanie stopnia bezpieczeństwa w danej grupie nośników |
| Certyfikat lub dokument równoważny | Dokument przedmiotowy równoważny z żądaną normą |
| Udokumentowanie procesu i łańcucha dowodowego | Ocena zgodności procesu obejmująca protokołowanie zniszczenia |
Certyfikat nie zastępuje pozostałych warunków udziału w postępowaniu, takich jak polisa odpowiedzialności cywilnej czy umowa powierzenia przetwarzania danych. Odnosi się on do tej części wymagań, która dotyczy zgodności samego procesu niszczenia z normą. Jeżeli nie masz pewności, jaki poziom deklarować, test klasy ochrony wskaże orientacyjny stopień dla Twoich danych i nośników.
Podsumowanie
W postępowaniu na usługę niszczenia zgodność z ISO/IEC 21964 wykazuje się dokumentem przedmiotowym — a zamawiający, żądając konkretnego certyfikatu, musi dopuścić rozwiązania równoważne. Certyfikat MS-SDS pełni tę rolę, wskazując objęte klasy ochrony i stopnie bezpieczeństwa, przy uczciwym zaznaczeniu, że na tę normę nie ma akredytacji. Firma, która przygotuje ten dokument zawczasu, unika odrzucenia oferty na etapie formalnym i konkuruje na równych zasadach.
Najczęstsze pytania
Czy zamawiający może odrzucić ofertę z powodu braku „certyfikatu ISO 21964”, jeżeli przedłożono dokument równoważny? +
Czy certyfikat MS-SDS jest dokumentem akredytowanym? +
Jak wskazać w ofercie osiągnięty poziom bezpieczeństwa? +
Źródła: norma ISO/IEC 21964:2018 (oparta o DIN 66399); RODO — rozporządzenie (UE) 2016/679; Ustawa Prawo zamówień publicznych. Zobacz też: certyfikacja niszczenia a wymóg w przetargu oraz co musi zawierać certyfikat zniszczenia.