konto usunięte

Temat: Niszczenie danych osobowych - wymagania

Niszczenie danych osobowych - wymagania.

Radosław K.:

Jakie wymagania prawne powinna spełniać Firma/Instytucja zajmująca się niszczeniem danych osobowych?
Pytanie dotyczy bardziej wymagań technicznych i organizacyjnych.Ja podpisuję standardową umowę powierzenia przetwarzania danych osobowych, czyli wymagam, aby pracownicy firmy, którzy mają dostęp do moich danych (nawet zwykłe wydruki) mieli zaświadczenia o szkoleniu z ochrony danych osobowych, dodatkowo firma musi mi zagwarantować niszczenie danych nie poprzez wywalenie to do lasu a zniszczenie fizycznie, że jej pracownicy mają upoważnienia do przetwarzania DO a przede wszystkich oświadczenia o zachowaniu poufności - to można sprawdzić audytem. Jeśli tylko niszczą (spalarnia) to sprawdzanie ich systemu informatycznego nie ma znaczenia. Ale dużo takich firm ma certyfikaty bezpieczeństwa.

Stwierdzenie w UODO: "usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą" jest zbyt rozmyte jak dla mnie. Na jakim poziomie rozumieć "nie pozwoli na ustalenie tożsamości"

Ja to rozumiem jako np. szyfrowanie części lub wszystkich danych, jeśli zostanie czytelne tylko np. Imię i miasto - problemu nie ma, a do celów statystycznych dalej mogę to wykorzystać,
jeśli firma niszcząc to nie tylko zamalowanie danych ale konkretne zniszczone zgodnie z DIN 32757 III i powyżej lub spalone.

Marek Rajszczak
Specjalista ds. Bezpieczeństwa CCC EU + Członek Zarządu w KŻ LUMEL,
Zielona Góra, lubuskie