Multicert

Bezpłatna wycena

ISO · w 2h, bez zobowiązań

Wyceń →
ISO

RODO czy DIN 66399 — co naprawdę Cię obowiązuje przy niszczeniu danych

RODO jest obowiązkowe, DIN 66399 (ISO 21964) to standard techniczny. Wyjaśniamy, co naprawdę musisz spełnić przy niszczeniu danych osobowych i jak norma pomaga wykazać zgodność z RODO.

Renata Wojnowska 7 min czytania

„RODO czy DIN 66399?” to fałszywy wybór — i jedno z najczęstszych pytań przy niszczeniu danych. To nie są konkurencyjne wymagania, lecz dwa różne poziomy: RODO jest obowiązkowym prawem, a DIN 66399 / ISO/IEC 21964 to dobrowolny standard techniczny, który pokazuje, jak ten obowiązek spełnić. Wyjaśniamy, co naprawdę Cię obowiązuje.

RODO — obowiązek, ale bez instrukcji

RODO dotyczy każdego administratora i podmiotu przetwarzającego dane osobowe. W kontekście niszczenia nakłada trzy obowiązki:

  • Art. 17 — prawo do usunięcia danych: po ustaniu celu przetwarzania dane trzeba trwale usunąć.
  • Art. 28 — powierzenie przetwarzania: zlecając niszczenie, odpowiadasz za dobór i nadzór nad wykonawcą.
  • Art. 32 — bezpieczeństwo przetwarzania: środki techniczne i organizacyjne muszą odpowiadać ryzyku.

Czego RODO nie robi: nie mówi, jak drobno zniszczyć papier, co zrobić z dyskiem SSD ani jaki rozmiar cząstki jest „wystarczający”. Tę lukę wypełnia norma.

DIN 66399 / ISO 21964 — instrukcja, ale bez przymusu

DIN 66399 (oraz jej międzynarodowy odpowiednik ISO/IEC 21964) to standard techniczny. Definiuje mierzalne poziomy zniszczenia przez trzy osie: grupy nośników, stopnie bezpieczeństwa i klasy ochrony. Daje to, czego RODO nie precyzuje — konkretną, weryfikowalną metodę.

Norma nie jest obowiązkowa. Ale właśnie dlatego, że RODO wymaga „odpowiednich środków”, a nie ich nie definiuje, uznany standard staje się naturalnym punktem odniesienia — w umowach, audytach i kontrolach.

RODO i DIN 66399 — porównanie

AspektRODODIN 66399 / ISO 21964
CharakterObowiązkowe prawo (rozporządzenie UE)Dobrowolny standard techniczny
Co określaŻe dane muszą być usunięte i kto za to odpowiadaJak zniszczyć — mierzalne poziomy
Metoda niszczeniaNie wskazujeDefiniuje (grupy, stopnie, klasy ochrony)
Skutek niespełnieniaKary administracyjne, odpowiedzialnośćBrak sankcji — ale słabszy dowód zgodności z RODO
RolaWyznacza obowiązekDokumentuje sposób jego spełnienia

Polskie prawo a DIN 66399

W polskim porządku prawnym nie ma odrębnego aktu, który nakazywałby stosowanie DIN 66399. Dla danych objętych klauzulami tajności zastosowanie ma Ustawa o ochronie informacji niejawnych, wymagająca wysokich stopni bezpieczeństwa (P-5 do P-7). W pozostałym zakresie norma funkcjonuje jako przyjęta dobra praktyka — powoływana w umowach powierzenia i akceptowana przez UODO jako dowód należytej staranności.

Co to znaczy w praktyce

Jeśli niszczysz dane samodzielnie: RODO wyznacza obowiązek, a DIN 66399 pomaga dobrać i udokumentować właściwy poziom. Jeśli nie wiesz, jaki — sprawdź w bezpłatnym teście klasy ochrony.

Jeśli zlecasz niszczenie: wymagaj od wykonawcy zgodności z DIN 66399 / ISO 21964. To uszczelnia łańcuch odpowiedzialności z art. 28 RODO — jeśli podwykonawca działa wg uznanego standardu, Twoja należyta staranność jest udokumentowana.

Jeśli niszczysz na zlecenie innych: certyfikacja procesu wg ISO/IEC 21964 jest tym, czego oczekują Twoi klienci, by sami wykazać zgodność z RODO.

Podsumowanie

RODO i DIN 66399 nie konkurują — uzupełniają się. RODO mówi, że dane muszą zniknąć i że odpowiadasz za to, jak to się stało. DIN 66399 / ISO 21964 mówi, jak to zrobić w sposób mierzalny i możliwy do udowodnienia. Razem zamieniają deklarację „dbamy o dane” w dowód.

Najczęstsze pytania

Czy zniszczenie zgodne z DIN 66399 zwalnia z innych obowiązków RODO? +
Nie. Zgodne niszczenie realizuje obowiązek usunięcia danych, ale nie zastępuje pozostałych obowiązków RODO — rejestru czynności, podstaw prawnych, realizacji praw osób czy obsługi naruszeń. Niszczenie to jeden z elementów cyklu życia danych.
Czy wystarczy oświadczenie, że niszczę zgodnie z RODO? +
Samo oświadczenie nie wystarcza w razie kontroli — RODO wymaga rozliczalności, czyli możliwości wykazania zgodności. Udokumentowany proces oparty o uznany standard i certyfikat zniszczenia są znacznie mocniejszym dowodem niż deklaracja.
Czy małe firmy też muszą stosować się do tych wymagań? +
RODO obowiązuje niezależnie od wielkości — także mikroprzedsiębiorców przetwarzających dane osobowe. DIN 66399 nie jest obowiązkowa, ale dla każdej organizacji jest najprostszym sposobem dobrania właściwego poziomu niszczenia i jego udokumentowania.

Źródła: RODO — rozporządzenie (UE) 2016/679; Ustawa o ochronie informacji niejawnych z 5 sierpnia 2010 r.; norma ISO/IEC 21964:2018 (oparta o DIN 66399). Zobacz też: co musi zawierać certyfikat zniszczenia oraz klasa ochrony czy stopień bezpieczeństwa.

← Wszystkie artykuły 23 kwietnia 2026
Zadzwoń Bezpłatna wycena