Proces niszczenia dokumentów w ESSI a normy bezpieczeństwa
Prawidłowe niszczenie dokumentów często napawa nas pewnymi obawami: czy aby na pewno robimy to dobrze? Jakie normy powinniśmy brać pod uwagę, niszcząc akta? I wreszcie: jakie konsekwencje grożą naszej firmie, jeśli nieprawidłowo zutylizujemy dokumentację? Tak naprawdę nie warto zaprzątać sobie tym głowy i zdać się na nas. Posiadamy wiedzę i doświadczenie, które pozwalają nam na niszczenie dokumentów zgodnie z obowiązującymi normami. W poniższym artykule chcemy przybliżyć Wam najważniejsze regulacje, z którymi mamy do czynienia na co dzień.
Utylizacja dokumentów zgodna z prawem
Według polskiego prawa dokumenty przeznaczone do zniszczenia powinny zostać zutylizowane w taki sposób, aby nie było możliwe ponowne odczytanie ich treści. I choć stwierdzenie to wydaje się dosyć szerokie, to jednak aby podnieść bezpieczeństwo informacji, w Polsce przyjęto standardy niszczenia dokumentacji zgodne z DIN 66399. Dzięki niej wiadomo, w jaki sposób i w jakim stopniu powinny być niszczone dokumenty papierowe oraz ich odpowiedniki zapisane na elektronicznych nośnikach danych. Drugim istotnym rozporządzeniem odnoszącym się do dokumentacji zawierającej dane osobowe z jest RODO, które jasno określa, jakie informacje są danymi osobowymi oraz w jakich przypadkach powinny być niszczone. Czym zatem są te regulacje?
RODO
Od 25 maja 2018 roku właściwie wszystkich przedsiębiorców zaczęło obowiązywać Rozporządzenie o Ochronie Danych Osobowych – RODO. Dotyczy ono wszelkich kwestii związanych z przetwarzaniem dokumentacji, która zawiera dane osobowe. Przetwarzanie danych odnosi się także do utylizacji akt zawierających informacje tego typu. Choć RODO stawia na pierwszym miejscu ochronę danych podczas ich niszczenia, to nie określa jednak, w jaki sposób osiągnąć ten cel. De facto każdy podmiot przetwarzający dane osobowe powinien wdrożyć własną strategię przetwarzania danych, która obejmie również system prawidłowego i bezpiecznego niszczenia akt, tak aby niepowołane osoby nie miały do nich dostępu lub nie mogłyby odtworzyć ich treści. Jeśli zaś chodzi o niszczenie dokumentów z danymi osobowymi zgodne z RODO, to rozporządzenie wyraźnie wskazuje, że dokumenty tego typu nie powinny być przechowywane dłużej niż jest to konieczne, nie odnosi się jednak do samego procesu utylizacji. Tu z pomocą przychodzi norma DIN 66399, która obecnie powinna być przestrzegana zarówno przy niszczeniu dokumentów papierowych, jak i elektronicznych nośników danych.
DIN 66399
Norma DIN 66399 wyróżnia sześć rodzajów nośników informacji:
- P – dokumentacja papierowa
- E – elektroniczne nośniki danych (dyski SSD, pamięci USB, karty pamięci, kary chipowe)
- F – informacje w rozmiarze pomniejszonym (klisze, slajdy, mikrofilmy)
- H – dyski twarde z magnetycznymi nośnikami danych
- O – optyczne nośniki danych (płyty CD/DVD)
- T – magnetyczne nośniki danych (dyskietki, kasety z taśmą magnetyczną)
Dodatkowo wprowadza podział na trzy klasy ochrony dokumentów:
- Pierwsza klasa – dokumenty skierowane do szerokich grup odbiorców, których ujawnienie mogłoby mieć ograniczony wpływ na przedsiębiorstwo (korespondencja wewnętrzna, notatki, okólniki, foldery).
- Druga klasa – dane wrażliwych skierowane do wąskiego grona odbiorców, których ujawnienie mogłoby mieć znaczący wpływ na firmę (korespondencja zewnętrzna i wewnętrzna, zawiadomienia i wnioski, dane osobowe).
- Trzecia klasa – dokumenty poufne i tajne, których ujawnienie mogłoby spowodować naruszenie tajemnic handlowych, umów i przepisów prawa (dokumentacja związana z zarządzaniem, dane finansowe, specjalistyczne sprawozdania i raporty).
Obowiązująca w Polsce norma DIN 66399 dopuszcza jedynie mechaniczną metodę niszczenia nośników danych. Przewiduje przy tym siedem poziomów bezpieczeństwa (od P-1 do P-7) odpowiadających za właściwie zniszczenie dokumentacji. Im wyższy poziom, tym mniejsza powinna być wielkość ścinka, który powstaje w procesie niszczenia.