RODO to rozporządzenie budzące mieszane odczucia w przedstawicielach firm, przede wszystkim przez dużą ilość zmian, jakie związane były z ich wprowadzeniem. Wprowadzenie 10 maja 2018 RODO było wielką zmianą dla codziennego funkcjonowania wielu przedsiębiorstw działających na terenie Unii Europejskiej. Modyfikacje nie ominęły między innymi kwestii związanych z niszczeniem dokumentów, także tych, zawierających poufne dane firmowe czy dane personalne pracowników. Niszczenie dokumentacji to nieodłączna część funkcjonowania wielu firm, które od wejścia w życie przepisów RODO musiały czasem mocno zmienić swoje postępowanie tym zakresie.
Niszczenie papierowych dokumentów zgodnie z RODO
RODO to akt prawny dotyczący przetwarzania danych osobowych, do której muszą stosować się wszyscy (zarówno firmy, jak i instytucje), które w swoim codziennym działaniu mają z styczność z danymi osobowymi. Wrażliwe dane muszą być w odpowiedni sposób chronione, a po określonym przepisami czasie powinny zostać obowiązkowo zniszczone. Ochrona danych osobowych obejmuje między innymi konieczność niszczenia dokumentów, które powstały w formie papierowej. Warto jednak zdawać sobie sprawę z tego, że jest to proces, który niezależnie od tego, czy jest wykonywany przed firmę/instytucje samodzielnie, czy przy pomocy wyspecjalizowanej w tym zakresie firmy, zawsze musi przebiegać według ściśle określonych zasad, uwzględniających zapisy ustawy RODO.
Niezależnie od tego, kto i w jaki sposób będzie dokonywał zniszczenia dokumentacji zawierającej wrażliwe dane, musi zrobić to w sposób bezpieczny tak, by nie przedostały się one w niepowołane ręce. Według przepisów RODO nie ma jednego, bezpiecznego i narzucanego odgórnie sposobu na przetwarzanie danych osobowych, co jednak nie oznacza, że nie należy się tu stosować do kilku bardzo ważnych zasad. Ponadto w czasie kontroli firma musi przedstawić system, jaki stosuje do ochrony danych osobowych oraz potwierdzenie bezpiecznego zniszczenia dokumentacji zawierającej wrażliwe, poufne informacje. Brak bezpiecznego niszczenia dokumentacji i właściwej ochrony danych osobowych jest związany z wysokimi karami pieniężnymi, nakładanymi przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO). W zależności od indywidualnego przypadku takie kary mogą wynosić nawet 10-20 mln euro.
Ochrona danych osobowych i odpowiednie niszczenie zgodne z przepisami dokumentacji zawierającej poufne dane to obowiązek każdej firmy (zarówno niewielkiej lokalnej, jak i dużej międzynarodowej korporacji), a także instytucji przetwarzających dane osobowe, a wszelkie odstępstwa od przestrzegania przepisów są surowo karane.
Jak zniszczyć dokumenty, by nie naruszyć przepisów RODO?
Wytyczne RODO co do niszczenia dokumentacji są dość surowe, wymagają czasu, a nierzadko również konieczności poniesienia znacznych wydatków, dlatego też wiele firm nie decyduje się na samodzielną realizację tego zadania. Aby sprostać wymaganiom, niezbędna jest nie tylko wiedza, ale przynajmniej podstawowe doświadczenie z obszaru legalnej utylizacji nośników informacji.
Powierzenie zadania profesjonalistom nie oznacza jednak, że problem znika. Firma/instytucja musi przede wszystkim zadbać o odpowiedni wybór wykonawcy. To bardzo ważne, ponieważ tylko rzetelnie wykonane zadanie oraz odpowiedzialność za ewentualne błędy przy niszczeniu dokumentacji mogą uchronić przedsiębiorców przed dotkliwymi karami związanymi z brakiem pełnego przestrzegania przepisów. Warto przy tym pamiętać, że za błędy płaci administrator, czyli jednostka zlecająca niszczenie dokumentacji. Z tego tez powodu należy rozsądnie podejść do wyboru firmy, która zajmie się zniszczeniem dokumentacji.
Zgodnie z przepisami RODO, niszczenie dokumentacji zawierających poufne dane musi odbywać się z najwyższą (3) klasą tajności, określoną normą DIN66399. Pomiędzy administratorem danych a podmiotem odpowiedzialnym za zniszczenie dokumentacji musi postać sporządzona stosowna umowa określająca przebieg i zasady niszczenia nośników danych. Zgodnie z przepisami RODO przechowywanie dokumentacji nie powinno trwać dłużej, niż jest to niezbędne. Gdy ich czas mija, ze względu na charakter danych, jakie zawierają, muszą zostać bezwzględnie zniszczony.
Firmy czy instytucje mogą skorzystać tu z profesjonalnej pomocy, jednak jeżeli mają możliwości i stosowną wiedzę mogą przeprowadzić procedurę samodzielnie, bez ingerencji jednostek z zewnątrz. Na ten krok należy jednak zdecydować się tylko przy całkowitej pewności, że dokumenty zostaną zniszczone prawidłowo, przepisy RODO nie zostaną narażone, a poufne dane nie przedostaną się w niepowołane ręce.
Wady i zalety samodzielnego niszczenia dokumentacji
Zgodnie z przepisami RODO firmy czy instytucje mogą dokonywać samodzielnego niszczenia dokumentacji zawierającej poufne dane pod warunkiem, że posiadają odpowiednie do tego celu narzędzia. Warto podkreślić, że jeżeli zachodzi samodzielna utylizacja dokumentów w formie tradycyjnej (papierowej), w procesie ich niszczenia należy uwzględnić również inne nośniki zawierające te same dane (np. dyski, płyty CD, płyty DVD). Dokumentacja utylizowana jest przy pomocy niszczarek. Firma decydująca się na własną rękę pozbyć materiałów poufnymi danymi musi zadbać o wybór odpowiedniego urządzenia, które będzie w stanie zniszczyć dokumenty na tyle, by nie było możliwe ich ponowne odtworzenie.
Samodzielna utylizacja dokumentów to rozwiązanie, które ma zarówno zalety, jak i wady. Jeśli chodzi o zalety, to przede wszystkim oszczędność czasu. Niszcząc dokumentację samodzielnie, nie ma potrzeby spędzania długiego czasu na znalezienie odpowiedniej firmy, która miałaby przejąć to zadanie. Kolejna zaleta to brak interwencji z zewnątrz, a tym samym zmniejszenie ryzyka, że informacje poufne w dokumentacji, która ma zostać zniszczona, przedostaną się w niepowołane ręce.
A wady? To przede wszystkim konieczność poniesienia kosztów (niekiedy dość znaczących) na zakup i utrzymanie niszczarki do papieru, która w tym przypadku musi być naprawdę doskonała i uniemożliwiać ponowne odtworzenie zapisów zawartych w zniszczonych dokumentach. Przed umieszczeniem dokumentów w niszczarce należy je odpowiednio posegregować i przygotować, co wiąże się z koniecznością czasowego odciągnięcia przynajmniej jednego z pracowników od wykonywanych w danym momencie obowiązków.
Rodzaje niszczarek do papieru. Na co warto zwracać uwagę przy wyborze urządzenia?
W większości przypadków niszczarki dostosowane są do kartek formatu A4 (dużo rzadziej do A3). W zależności od charakterystyki urządzenia dokumenty mogą zostać pocięte na paski lub ścinki. W przypadkach, w których niszczone będą nie tylko tradycyjne, papierowe nośniki danych, ale również karty, płyty czy dyski warto sięgać po dużo droższe, jednak zdecydowanie bardziej przydatne urządzenia wielofunkcyjne. Doskonale radzą sobie także ze zszywkami, więc nie ma konieczności oddzielania od siebie poszczególnych kartek przed włożeniem do niszczarki.
Wybierając niszczarkę, należy upewniać się, że spełnia ona określone wymogi przez normę DIN66399. Według niej urządzenia można podzielić na siedem stopni bezpieczeństwa:
P-1 dokumenty mało istotne (cięte na paski o szerokości max. 12 cm).
P-2 – dokumentacja wewnętrzna (max. szerokość pasków 6 mm).
P-3 – dokumentacja o poufnych i drażliwych danych (szerokość ścinek max. 2 mm, ich powierzchnia nie może przekraczać 320 mm²).
P-4 – dokumentacja ze szczególnie wrażliwymi i poufnymi danymi danych (szerokość ścinek max. 6 mm, ich powierzchnia nie może przekraczać 160 mm²).
P-5 – dokumentacja zawierająca tajne informacje (szerokość ścinek max. 2 mm, ich powierzchnia nie może przekraczać 30 mm²).
P-6 – dokumentacja zawierająca tajne informacje wymagające zastosowania wysokich standardów bezpieczeństwa danych (szerokość ścinek max. 1 mm, ich powierzchnia nie może przekraczać 10 mm²).
P-7 – dokumentacja zawierająca ściśle tajne informacje danych (szerokość ścinek max. 1 mm, ich powierzchnia nie może przekraczać 5 mm²).
Wybierając niszczarkę, należy mieć na uwadze przede wszystkim poziom jej bezpieczeństwa. Im ważniejsze i bardziej poufne dane, tym wyższa klasa bezpieczeństwa urządzenia (co wpływa także na cenę jego zakupu). Dobry ranking niszczarek do papieru znajdziecie w dużych sklepach RTV AGD.
Choć bezpieczeństwo to jeden z najważniejszych aspektów, nie należy zapominać również o innych, dość ważnych kwestiach. O czym jeszcze warto pamiętać? Przed zakupem urządzenia dobrze jest zwrócić uwagę na:
- pojemność zbiornika na ścinki – im większym, tym bardziej komfortowa praca z urządzeniem (nie będzie konieczności częstego oczyszczania zbiornika);
- wydajność, czyli ilość zniszczonych kartek w danej jednostce czasu. Im więcej tym niszczarka lepsza i wydajniejsza;
- głośność – im mniej dB, tym lepiej, co pozwala na korzystanie z niszczarki w bardziej sprzyjających warunkach;
- dodatkowe funkcje – tu możliwości jest wiele, często nowoczesne urządzenia mają dodatkowe zabezpieczenia (np. automatyczny start czy stop), sensor dotyku (gdy dłoń znajdzie się w niszczarce, maszyna zostaje natychmiast zatrzymana – to sprzyja zachowaniu bezpieczeństwa pracy).
Jak niszczyć inne niż papierowe nośniki poufnych danych?
Coraz częściej dane zamiast na papierowych kartkach zapisywane są na cyfrowych nośnikach danych. Firmy/ instytucje muszą pamiętać o tym, że także i one powinny zostać poddane zniszczeniu po pewnym czasie. Można tego dokonać na dwa sposoby. Po pierwsze w sposób mechaniczny, czyli robiąc po prostu wszystko, by zniszczyć ich strukturę na tyle, by odczytanie danych na nich zawartych było nie tyle trudne, co wręcz niemożliwe. Powstałe w ten sposób odpady należy oddać w stosownym miejscu do utylizacji. Druga możliwość to zastosowanie wysokiej klasy niszczarek, które są przystosowane do niszczenia tego typu urządzeń w sposób bezpieczny i trwały.
Niszczenie dokumentacji przez firmę zewnętrzną
Utylizacja dokumentacji zawierającej poufne dane może zostać przeprowadzona przez firmę zewnętrzną, specjalizującą się w świadczeniu tego rodzaju usług. Tu należy jednak starannie dobierać wykonawcę, aby zminimalizować ryzyko przedostania się poufnych danych poza firmę. Zakres usług jest ustalany pomiędzy stronami i zawsze musi zostać potwierdzony zawarciem umowy w formie pisemnej. Dlaczego warto korzystać pomocy przy utylizacji archiwalnych dokumentów przez firmę zewnętrzną ? Profesjonaliści nie tylko doskonale wiedzą, jak utylizować nośniki danych zgodnie z przepisami RODO, ale również posiadają doświadczenie minimalizujące ryzyko niepowodzenia, a tym samym konsekwencji dla administratora danych (gdyż to on jako jedyny ponosi odpowiedzialność za dane poufne, gdy przedostaną się do osób trzecich). Taka pomoc to również oszczędność czasu, gdyż każdy z pracowników może wykonywać swoje zadania, nie poświęcając przy tym czasu na wszystkie procedury związane z utylizacją dokumentów. Korzystając z profesjonalnej pomocy jednostki nie muszą inwestować w zakup i utrzymanie niszczarek (a te niekiedy kosztują nawet kilkadziesiąt tysięcy złotych).
Jednak korzystanie z firmy zewnętrznej niesie również pewne ryzyko. Niestety, nie wszyscy działają uczciwie, dlatego zawsze istnieje choćby niewielkie prawdopodobieństwo tego, że zawarte w dokumentacji dane przedostaną się spoza firmy dalej.
AUTOR: M. Olszewska
Obowiązek Informacyjny RODO
Polityka Prywatności
Jak wyłączyć cookies
Cyberbezpieczeństwo