„RODO czy DIN 66399?” to fałszywy wybór — i jedno z najczęstszych pytań przy niszczeniu danych. To nie są konkurencyjne wymagania, lecz dwa różne poziomy: RODO jest obowiązkowym prawem, a DIN 66399 / ISO/IEC 21964 to dobrowolny standard techniczny, który pokazuje, jak ten obowiązek spełnić. Wyjaśniamy, co naprawdę Cię obowiązuje.
RODO — obowiązek, ale bez instrukcji
RODO dotyczy każdego administratora i podmiotu przetwarzającego dane osobowe. W kontekście niszczenia nakłada trzy obowiązki:
- Art. 17 — prawo do usunięcia danych: po ustaniu celu przetwarzania dane trzeba trwale usunąć.
- Art. 28 — powierzenie przetwarzania: zlecając niszczenie, odpowiadasz za dobór i nadzór nad wykonawcą.
- Art. 32 — bezpieczeństwo przetwarzania: środki techniczne i organizacyjne muszą odpowiadać ryzyku.
Czego RODO nie robi: nie mówi, jak drobno zniszczyć papier, co zrobić z dyskiem SSD ani jaki rozmiar cząstki jest „wystarczający”. Tę lukę wypełnia norma.
DIN 66399 / ISO 21964 — instrukcja, ale bez przymusu
DIN 66399 (oraz jej międzynarodowy odpowiednik ISO/IEC 21964) to standard techniczny. Definiuje mierzalne poziomy zniszczenia przez trzy osie: grupy nośników, stopnie bezpieczeństwa i klasy ochrony. Daje to, czego RODO nie precyzuje — konkretną, weryfikowalną metodę.
Norma nie jest obowiązkowa. Ale właśnie dlatego, że RODO wymaga „odpowiednich środków”, a nie ich nie definiuje, uznany standard staje się naturalnym punktem odniesienia — w umowach, audytach i kontrolach.
RODO i DIN 66399 — porównanie
| Aspekt | RODO | DIN 66399 / ISO 21964 |
|---|---|---|
| Charakter | Obowiązkowe prawo (rozporządzenie UE) | Dobrowolny standard techniczny |
| Co określa | Że dane muszą być usunięte i kto za to odpowiada | Jak zniszczyć — mierzalne poziomy |
| Metoda niszczenia | Nie wskazuje | Definiuje (grupy, stopnie, klasy ochrony) |
| Skutek niespełnienia | Kary administracyjne, odpowiedzialność | Brak sankcji — ale słabszy dowód zgodności z RODO |
| Rola | Wyznacza obowiązek | Dokumentuje sposób jego spełnienia |
Polskie prawo a DIN 66399
W polskim porządku prawnym nie ma odrębnego aktu, który nakazywałby stosowanie DIN 66399. Dla danych objętych klauzulami tajności zastosowanie ma Ustawa o ochronie informacji niejawnych, wymagająca wysokich stopni bezpieczeństwa (P-5 do P-7). W pozostałym zakresie norma funkcjonuje jako przyjęta dobra praktyka — powoływana w umowach powierzenia i akceptowana przez UODO jako dowód należytej staranności.
Co to znaczy w praktyce
Jeśli niszczysz dane samodzielnie: RODO wyznacza obowiązek, a DIN 66399 pomaga dobrać i udokumentować właściwy poziom. Jeśli nie wiesz, jaki — sprawdź w bezpłatnym teście klasy ochrony.
Jeśli zlecasz niszczenie: wymagaj od wykonawcy zgodności z DIN 66399 / ISO 21964. To uszczelnia łańcuch odpowiedzialności z art. 28 RODO — jeśli podwykonawca działa wg uznanego standardu, Twoja należyta staranność jest udokumentowana.
Jeśli niszczysz na zlecenie innych: certyfikacja procesu wg ISO/IEC 21964 jest tym, czego oczekują Twoi klienci, by sami wykazać zgodność z RODO.
Podsumowanie
RODO i DIN 66399 nie konkurują — uzupełniają się. RODO mówi, że dane muszą zniknąć i że odpowiadasz za to, jak to się stało. DIN 66399 / ISO 21964 mówi, jak to zrobić w sposób mierzalny i możliwy do udowodnienia. Razem zamieniają deklarację „dbamy o dane” w dowód.
Najczęstsze pytania
Czy zniszczenie zgodne z DIN 66399 zwalnia z innych obowiązków RODO? +
Czy wystarczy oświadczenie, że niszczę zgodnie z RODO? +
Czy małe firmy też muszą stosować się do tych wymagań? +
Źródła: RODO — rozporządzenie (UE) 2016/679; Ustawa o ochronie informacji niejawnych z 5 sierpnia 2010 r.; norma ISO/IEC 21964:2018 (oparta o DIN 66399). Zobacz też: co musi zawierać certyfikat zniszczenia oraz klasa ochrony czy stopień bezpieczeństwa.