Multicert
DIN 66399 · ISO/IEC 21964 · certyfikacja dobrowolna

Certyfikacja niszczenia dokumentów i nośników danych — DIN 66399 / ISO 21964

W skrócie

Certyfikujemy proces niszczenia dokumentów i nośników danych względem ISO/IEC 21964 (międzynarodowego odpowiednika DIN 66399) — nie pojedynczą partię, lecz cały system: urządzenia, procedury, kompetencje personelu i łańcuch dowodowy. Certyfikat procesu daje firmie niszczącej to, czego żądają jej klienci i zamawiający: dowód zgodności, który przechodzi przez wymóg przetargowy i potwierdza należytą staranność wobec RODO.

Certyfikacja dobrowolna

Program certyfikacji Multicert.

Multicert Certified

Certyfikat

Niszczenie Nośników Danych

zgodność z normą

ISO/IEC 21964 (DIN 66399)

program certyfikacji MS-SDS 001:2026

multicert.plMS-SDS 001:2026

Powiedzmy to wprost: dla niszczenia nośników danych nie ustanowiono schematu akredytacji — ani w Polsce, ani w Unii Europejskiej. Żadna jednostka certyfikująca nie jest akredytowana w tym zakresie. Każdy certyfikat na tym rynku jest wydawany na podstawie programu jednostki, nie jako certyfikat akredytowany — niezależnie od tego, jak bywa nazywany.

Prowadzimy Program certyfikacji Multicert MS-SDS 001:2026 w oparciu o wymagania ISO/IEC 21964 (DIN 66399) — w trybie certyfikacji dobrowolnej, według ustalonego programu i regulaminu. To ta sama kategoria, w której uznane jednostki certyfikujące prowadzą swoje programy oznaczane kodami MS.

O wiarygodności nie decyduje pieczęć akredytacji, której nie posiada nikt — decyduje niezależność i kompetencja jednostki, powtarzalny audyt procesu oraz znak Multicert, który rozpoznają zamawiający i klienci.

Dlaczego mówimy o tym otwarcie

Część rynku sugeruje akredytację, której nie ma. Uczciwe nazwanie statusu jest częścią wiarygodności, którą certyfikujemy — i waszym argumentem wobec klienta, który zna różnicę.

Norma

Czym jest ISO/IEC 21964?

ISO/IEC 21964 to międzynarodowy standard niszczenia nośników danych, oparty na niemieckiej normie DIN 66399. Określa, jak skutecznie zniszczyć nośnik, aby odtworzenie danych było nieopłacalne lub niemożliwe — w sposób mierzalny i powtarzalny.

Norma nie opisuje pojedynczego niszczenia, lecz wymagania wobec procesu. Opiera się na trzech osiach: grupie nośnika, stopniu bezpieczeństwa i klasie ochrony. Certyfikacja potwierdza, że proces firmy spełnia te wymagania dla każdej grupy nośników, którą rzeczywiście obsługuje.

Norma
ISO/IEC 21964:2018 — niszczenie nośników danych (międzynarodowy odpowiednik DIN 66399:2012)
Wydawca
ISO + IEC (DIN dla 66399)
Przedmiot oceny
Proces niszczenia nośników danych — nie pojedyncza partia
Trzy osie normy
6 grup nośników (P, F, O, T, H, E), 7 stopni bezpieczeństwa (1–7), 3 klasy ochrony (1–3)
Powiązane
RODO (rozporządzenie 2016/679), ISO/IEC 27001 (zabezpieczenie A.7.10 — nośniki)
Struktura normy

Trzy osie, które trzeba ustalić razem.

Najczęstszy błąd to mylenie tych pojęć. Grupa nośnika, stopień bezpieczeństwa i klasa ochrony to trzy odrębne parametry — dopiero razem definiują wymaganie wobec procesu.

Nie wiesz, jakiej klasy ochrony i stopnia potrzebujesz? Sprawdź w bezpłatnym teście

  • 6 grup

    Grupy nośników

    P — papier i wydruki; F — film i mikrofilm; O — nośniki optyczne (CD, DVD, Blu-ray); T — nośniki magnetyczne (taśmy, karty z paskiem); H — dyski twarde (HDD); E — nośniki elektroniczne (SSD, pendrive, karty pamięci, telefony, układy). Każda grupa ma własne wymagania niszczenia.

  • 7 stopni

    Stopnie bezpieczeństwa

    Skala 1–7 określa maksymalny rozmiar cząstki po zniszczeniu — od stopnia 1 (dokumenty ogólne) do stopnia 7 (informacje ściśle tajne). Oznaczenie typu „P-4" oznacza grupę P na stopniu 4, a nie odrębną „klasę P-4".

  • 3 klasy

    Klasy ochrony

    Klasa 1 (normalna potrzeba ochrony — dane wewnętrzne), klasa 2 (podwyższona — dane poufne, w tym osobowe), klasa 3 (bardzo wysoka — dane szczególnie chronione i niejawne). Klasa ochrony wyznacza minimalny wymagany stopień bezpieczeństwa dla danej grupy nośników.

Korzyści

Co daje certyfikat procesu niszczenia?

  • 01

    Warunek w przetargach i kontraktach B2B

    Coraz częściej specyfikacje zamówień publicznych i umowy z dużymi podmiotami wymagają od wykonawcy usługi niszczenia wykazania zgodności z DIN 66399 / ISO 21964. Bez certyfikatu procesu firma odpada z postępowania. To najbardziej wymierny driver — utrata kontraktu jest policzalna.

  • 02

    Dowód należytej staranności wobec RODO

    Zlecający niszczenie pozostaje administratorem danych i odpowiada za podwykonawcę (art. 28 RODO). Żąda od firmy niszczącej dowodu, że proces spełnia uznany standard. Certyfikat zgodności procesu jest tym dowodem — firma bez niego traci klientów na rzecz tych, którzy go mają.

  • 03

    Łańcuch dowodowy w razie incydentu

    W razie naruszenia ochrony danych (postępowanie UODO, kara do 20 mln EUR lub 4% obrotu) certyfikowany proces niszczenia stanowi dowód, że organizacja działała zgodnie z uznanym standardem. Bez niego pojawia się zarzut zaniedbania zabezpieczeń.

  • 04

    Wyróżnienie na rynku usług niszczenia

    Rynek firm niszczących dokumenty i nośniki jest rozdrobniony, a większość wystawia jedynie własne potwierdzenia zniszczenia partii. Certyfikat procesu wydany przez niezależną jednostkę przenosi ofertę z poziomu „usługi" na poziom „dostawcy spełniającego standard".

Audyt

Co weryfikujemy w audycie.

Audyt prowadzą audytorzy Multicert. Oceniamy cały proces — od urządzeń po protokół zniszczenia — względem deklarowanej klasy ochrony i stopnia bezpieczeństwa.

  • 01

    System zarządzania niszczeniem

    Polityka, procedury i przypisanie procesu niszczenia do właściwej klasy ochrony oraz stopnia bezpieczeństwa dla każdej grupy nośników.

  • 02

    Infrastruktura techniczna

    Urządzenia niszczące i potwierdzenie, że osiągany rozmiar cząstki odpowiada deklarowanemu stopniowi bezpieczeństwa dla obsługiwanych grup nośników.

  • 03

    Kompetencje i poufność personelu

    Przeszkolenie pracowników, zobowiązania do zachowania poufności, kontrola dostępu do nośników na każdym etapie.

  • 04

    Łańcuch dowodowy

    Odbiór, transport, ewidencja i zniszczenie — od przejęcia nośnika do protokołu zniszczenia. Ciągłość nadzoru nad nośnikiem bez luk.

Dla kogo

Dla kogo jest certyfikacja niszczenia.

Przede wszystkim dla firm, które niszczą nośniki na zlecenie — to one są pytane o certyfikat przez swoich klientów i zamawiających. A także dla organizacji niszczących własne nośniki w cyklu życia danych.

  • Firmy niszczące dokumenty i nośniki (usługa mobilna)
  • Firmy niszczące w zakładzie (usługa stacjonarna)
  • Archiwa i firmy zarządzające dokumentacją
  • Centra danych wycofujące dyski i nośniki
  • Organizacje niszczące własne nośniki w cyklu życia danych
  • Dostawcy usług IT asset disposition
Proces

Jak przebiega certyfikacja.

  1. 01 1–2 dni

    Zapytanie i ustalenie zakresu

    Rodzaje nośników (grupy P–E), liczba lokalizacji, model usługi (niszczenie mobilne czy stacjonarne) i docelowa klasa ochrony oraz stopień bezpieczeństwa.

  2. 02 5–7 dni

    Umowa i plan audytu

    Podpisanie umowy, ustalenie terminu i zespołu. Przegląd dokumentacji procesu przed wizytą.

  3. 03 1–2 dni

    Audyt zgodności procesu

    Weryfikacja na miejscu: urządzenia i osiągany stopień bezpieczeństwa, procedury, kompetencje personelu i ciągłość łańcucha dowodowego.

  4. 04 2–3 tyg.

    Decyzja i certyfikat

    Decyzja certyfikacyjna i wystawienie certyfikatu zgodności procesu niszczenia z ISO/IEC 21964 (DIN 66399).

  5. 05 cyklicznie

    Nadzór

    Audyty nadzoru w okresie ważności certyfikatu — potwierdzenie utrzymania zgodności procesu.

Co otrzymujesz

Certyfikat, znak i weryfikowalny wpis.

Po pozytywnym audycie otrzymujesz komplet, którym posługujesz się wobec klientów, w przetargach i w dokumentacji RODO — a każdy może sprawdzić jego ważność online.

Wzór certyfikatu niszczenia nośników danych — ISO/IEC 21964 (DIN 66399), program certyfikacji Multicert MS-SDS 001:2026

Wzór poglądowy — certyfikat dwujęzyczny PL/EN, na wskazaną klasę ochrony.

  • 01

    Certyfikat dwujęzyczny PL/EN

    Dokument poświadczający zgodność procesu z ISO/IEC 21964 (DIN 66399) na wskazaną klasę ochrony — do przetargów, kontrahentów i wykazania należytej staranności wobec RODO.

  • 02

    Znak certyfikacji do stosowania

    Pieczęć z numerem normy — na stronę internetową, oferty, stopki e-mail i materiały. Widoczny dowód, który rozpoznają zamawiający.

  • 03

    Wpis w publicznym rejestrze + kod QR

    Każdy certyfikat jest weryfikowalny online w rejestrze certyfikatów Multicert — kontrahent skanuje QR i potwierdza ważność. To dowód, że certyfikat jest prawdziwy, nie plik z edytora.

FAQ

Najczęstsze pytania o certyfikację niszczenia.

Czym certyfikacja procesu różni się od certyfikatu zniszczenia partii?

Certyfikat zniszczenia partii potwierdza, że konkretna dostawa nośników została zniszczona — wystawia go firma niszcząca. Certyfikacja procesu to niezależna ocena całego systemu niszczenia (urządzeń, procedur, personelu, łańcucha dowodowego) względem ISO/IEC 21964. Dzięki niej potwierdzenia, które firma wystawia swoim klientom, mają pokrycie w zweryfikowanym procesie.

Czym różni się klasa ochrony od stopnia bezpieczeństwa?

To dwie różne osie normy. Klasa ochrony (1–3) opisuje wrażliwość danych i wynikającą z niej potrzebę ochrony. Stopień bezpieczeństwa (1–7) opisuje, jak drobno nośnik ma zostać rozdrobniony. Klasa ochrony wyznacza minimalny wymagany stopień bezpieczeństwa dla danej grupy nośników — to dlatego oba parametry trzeba ustalić razem.

Czy DIN 66399 spełnia wymagania polskiego prawa?

DIN 66399 (i jej międzynarodowy odpowiednik ISO/IEC 21964) to standard techniczny, nie akt prawny. RODO wymaga skutecznego, udokumentowanego niszczenia danych, ale nie wskazuje konkretnej metody. Norma dostarcza uznaną, mierzalną metodę realizacji tego obowiązku — dlatego stosuje się ją jako dowód należytej staranności przy spełnianiu wymagań RODO i ustawy o ochronie informacji niejawnych.

Którą klasę ochrony i stopień bezpieczeństwa musi mieć moja firma?

Zależy to od najbardziej wrażliwych danych, jakie firma niszczy. Dane osobowe i poufne zwykle wymagają klasy ochrony 2, a dane szczególnie chronione lub niejawne — klasy 3. Klasie tej odpowiadają konkretne minimalne stopnie bezpieczeństwa dla każdej grupy nośników. Właściwy poziom ustalamy na etapie określania zakresu certyfikacji.

Czy niszczenie dysków SSD różni się od papieru?

Tak. Papier należy do grupy P, a nośniki półprzewodnikowe (SSD, pendrive, karty pamięci) do grupy E — i mają odrębne wymagania. W przypadku nośników elektronicznych rozmagnesowanie nie jest skuteczne, ponieważ nie przechowują danych magnetycznie; wymagane jest fizyczne rozdrobnienie do odpowiednio małej cząstki. Certyfikacja obejmuje każdą grupę nośników, którą firma rzeczywiście obsługuje.

Czy potrzebuję dodatkowo ISO 27001?

Nie jest to warunek certyfikacji procesu niszczenia. ISO/IEC 27001 i certyfikowany proces niszczenia dobrze się jednak uzupełniają — zabezpieczenie dotyczące nośników (A.7.10) wymaga bezpiecznego usuwania danych, a certyfikat procesu jest dowodem jego realizacji. Dla organizacji niszczących własne nośniki oba elementy razem dają pełniejszy obraz dojrzałości ochrony informacji.

Co powinien zawierać protokół zniszczenia?

Identyfikację zleceniodawcy, rodzaj i ilość nośników, zastosowaną grupę nośników, klasę ochrony i stopień bezpieczeństwa, datę i miejsce zniszczenia, dane wykonawcy oraz potwierdzenie ciągłości łańcucha dowodowego. Certyfikowany proces zapewnia, że każdy protokół opiera się na zweryfikowanej procedurze.

Ile trwa certyfikacja?

Od zapytania do certyfikatu zwykle kilka tygodni — w zależności od liczby lokalizacji i zakresu obsługiwanych grup nośników. Po wystawieniu certyfikat jest utrzymywany przez audyty nadzoru w okresie jego ważności.

Bezpłatna wycena

Wyceń certyfikację procesu niszczenia.

Powiedz nam, jakie nośniki niszczysz (grupy P–E), w ilu lokalizacjach i do jakiej klasy ochrony — przygotujemy zakres audytu i wycenę.

Doradca ds. certyfikacji

Renata Wojnowska

Certyfikacja niszczenia — ISO/IEC 21964

Zadzwoń Bezpłatna wycena